Взломали...
Добавлено: 02 дек 2016, 00:32
Привет.
Пришел счет за дзвонки в Сомали... Нами пользовались 2-3 дня. Имеем E1. Пвайдер, не закрыл международные вызовы ("не можем")... Хотя! Диалпланов для международки у меня небыло!
Хочу разобратся. FreePBX 12.0.70. А ведь просила обновится... Почему-то светилась веб-морда наружу, на внешний интерфейс... SSH из-вне закрыт.
Что интересно — CDR затерт. Вся история CDR до дня инцедента включительно — чистая. После — звноков история ведется нормально. Проверил что звонки были "от меня" по логах удаленного шлюза E1 (включен транком) — caller: SIP, Unknown, E1— Сомали.
Счет пришел поздно, а оказалось, на FreeBPX почти все текстовые логи сохряняются только за последних 30 дней (уже прошло 45). Бекап есть, но недельной давности (не помог).
На главной странице уведомление:
Файл Ajax.class.php вроде ниче. А freepbx-cron-scheduler.php имеет внутри красивый, обфусцированный, PHP-шелл. Дата создания файла — 2005 год. За последние 30 дней скриптом, судя по логам Ahapche, не пользовались.
А также:
SIP тоже торчал наружу. Было несколько человек з allow на весь мир.
Имею: дурак, PHP-шелл, работали 4 дня, подчистили логи, открыли диалплан? (и закрыли за собой?). Левых акков вроде нету. Что за вежливые фродеры?
Перед тем как переустановить систему исменить пароли хочу спросить, где еще можно посмотреть истрию взлома? Достаточно ли PHP-шелла чтобы изменить конфигурацию Asterisk? Или есть еще червинка где-то? Была ли утечка паролей?
Спасибо за советы.
P.S.
manager.conf : permit=127.0.0.1/255.255.255.0
Пришел счет за дзвонки в Сомали... Нами пользовались 2-3 дня. Имеем E1. Пвайдер, не закрыл международные вызовы ("не можем")... Хотя! Диалпланов для международки у меня небыло!
Хочу разобратся. FreePBX 12.0.70. А ведь просила обновится... Почему-то светилась веб-морда наружу, на внешний интерфейс... SSH из-вне закрыт.
Что интересно — CDR затерт. Вся история CDR до дня инцедента включительно — чистая. После — звноков история ведется нормально. Проверил что звонки были "от меня" по логах удаленного шлюза E1 (включен транком) — caller: SIP, Unknown, E1— Сомали.
Счет пришел поздно, а оказалось, на FreeBPX почти все текстовые логи сохряняются только за последних 30 дней (уже прошло 45). Бекап есть, но недельной давности (не помог).
На главной странице уведомление:
Код: Выделить всё
Module: "FreePBX Framework", File: "/var/lib/asterisk/bin/freepbx-cron-scheduler.php altered"
Module: "FreePBX Framework", File: "/var/www/html/admin/libraries/BMO/Ajax.class.php altered"
А также:
Код: Выделить всё
music (Cur v. 12.0.1) should be upgraded to v. 12.0.2 to fix security issues: SEC-2016-004
userman (Cur v. 12.0.27) should be upgraded to v. 12.0.28 to fix security issues: SEC-2016-003
framework (Cur v. 12.0.70) should be upgraded to v. 12.0.76.4 to fix security issues: SEC-2016-002
ucp (Cur v. 12.0.24) should be upgraded to v. 12.0.25 to fix security issues: SEC-2016-002
Имею: дурак, PHP-шелл, работали 4 дня, подчистили логи, открыли диалплан? (и закрыли за собой?). Левых акков вроде нету. Что за вежливые фродеры?
Перед тем как переустановить систему исменить пароли хочу спросить, где еще можно посмотреть истрию взлома? Достаточно ли PHP-шелла чтобы изменить конфигурацию Asterisk? Или есть еще червинка где-то? Была ли утечка паролей?
Спасибо за советы.
P.S.
manager.conf : permit=127.0.0.1/255.255.255.0