asterisk.ru

Доброго дня.

Пожаловался клиент на счета, шо приходят както бОльше ожиданного.

Расследование указало на наличие левого транка и привязаного к нему роута.

Это получается взломали вебморду путем мне неизвестным. И прописали...


Детали заботливо выкладываю: (мошт кому пригодится )
СИД:442035198194

PEER Details:
username=59122
user=59122
type=friend
secret=1234Bizitel56
qualify=yes
insecure=port,invite
host=178.63.143.236
fromuser=442035198194
context=from-trunk
authname=59122

регистрационная строка: 59122:1234Bizitel56@178.63.143.236

ip-шник вот этих ребят didlogic.com
https://didlogic.com/support/setup-guid ... k-callerid
Клиент точно к ним не подключался?

ip-шник вот этих ребят didlogic.com
https://didlogic.com/support/setup-guid ... k-callerid
Клиент точно к ним не подключался?

а пёс его знает. я как включил сипдебаг - ужоснулся, поменял ип адрес шоб дальше не списывались деньги.
видел чтото типа friendlyscanner с адреса 100@1.1.1.1 и пакеты на ип адреса, которых в иптаблес не указано. (иптаблес разрешал 2 офиса и пров, итого 3 ип). ответ сервера -REGISTERED.
абонента 100 не существовало, создал его с тяжелым паролем - по барабану -звонки типа как изнутри.
еще в билинге замечены звонки от абонента 105, такой в принципе есть, но телефон на него не подключен.
в общем хацкеры оказались смышлёные. переустановил всё заново, старую виртуалку оставил для опытов - мошт когдато докумекаю как поломали...

Три распространённых способа пролома (по частоте случаев)
1) Через вэб управлялки, методом типа PHP-inject, например во FreePBX долгое время - через старый модуль Asterisk recording interface
2) Через порт AMI (особенно если экспериментировали в manager.conf с alow & deny)
3) Брутфорс паролей.
Последний метод срабатывал только если не было ограничения сессий и система без fail2ban или со съехавшим fail2ban

Смотрите по датам создания, совпадающим с началом слива трафика, если давно, то http логов уже не найти.

Три распространённых способа пролома (по частоте случаев)
1) Через вэб управлялки, методом типа PHP-inject, например во FreePBX долгое время - через старый модуль Asterisk recording interface
2) Через порт AMI (особенно если экспериментировали в manager.conf с alow & deny)
3) Брутфорс паролей.
Последний метод срабатывал только если не было ограничения сессий и система без fail2ban или со съехавшим fail2ban

Смотрите по датам создания, совпадающим с началом слива трафика, если давно, то http логов уже не найти.

Спасибо за наводку.
1. старый модуль Asterisk recording interface в 12 версии присутствует? Если да, как бы его выключить?
2. в manager.conf после работы с вебинтерфейсом с "yes" переключаю на "no". Считал шо это ускладнит работу кулхакеров... Так как процентов 80 тогочто можно изменить в вебуправлении- не работает. Неужто такой маневр наоборот помогает?
3. все пароли 8+. без fail2ban, ограничения сессий нет....
странно что звонки шли сквозь иптаблес, как будто его нет. а он есть.

Начало слива трафика произошло в конце января... Боюсь шо всьо кануло. Кстати шоб http логи писались - их надо включить. Чего не делалось.

Скорбим, помним.
Остерегайтесь оверквотинга (полное цитирование предыдущего поста), это инфернальный признак!

Остерегайтесь оверквотинга (полное цитирование предыдущего поста), это инфернальный признак!

у блн, думал "оверквотинг" это пиво после вискаря. Век живи - век учись.

kramer75
Сочувствуем ((
Всё таки лучше поставить туда fail2ban. Прилепить monast, который бы следил за работоспособностью демона fail2ban (вдруг рухнет). Пересмотреть настройки apache, чтобы он не слушал внешние интерфейсы. Порт AMI 5038 тоже нет нужды, чтобы телепался на внешке.

Obi Van

Пересмотреть настройки apache, чтобы он не слушал внешние интерфейсы

возможно есть какойто универсальный рецепт, что именно подправить в настройках httpd ?

Заранее спасибо.

Что выдаёт?
В настройках апач поставить прослушивание только внутреннего IP.
В межсетевом экране (кусок из iptables.up.rules): В логах будет видно кто сосбно ломился, а потом он будет дропнут.