Страница 1 из 2

В Trxibox меняются исходящие маршруты

Добавлено: 01 окт 2011, 10:56
madgals
Очень странная ситуация с исходящими маршрутами в последнем дистрибутиве. Ставлю маршрут на выход в город, выход на 8ку, выход на внутреннюю атс. В итоге через некоторое время в маршрутах появляется что то вроде 810. или несколько подобных строчек...
И так каждый раз, как будто кто то или что то меняет эти маршруты, а как - непонятно... Может можно как то удаленно менять настройки ?

Re: В Trxibox меняются исходящие маршруты

Добавлено: 01 окт 2011, 11:48
zlat
вы еще свои телефонные счета проверьте :roll:
может и там отыщите "пару" звонков на Кубу

Re: В Trxibox меняются исходящие маршруты

Добавлено: 01 окт 2011, 12:31
madgals
это мне не поможет в поиске неисправности...
Пароли сменены на все. на sql, на сервер, на amportal. в общем на все, что нужно.
Ладно бы кто нибудь левый соединялся под внутренними номерами, но нет же. Меняются все исходящие маршруты на какую то лабуду, и я не понимаю как это происходит.
пароль от maint знают только 2 человека. один - это я, и один - мой начальник. Так что в умышленном саботаже подозревать некого...
А как еще можно подобраться к настройкам астериска ?
если соединиться на порт 5038, не зная пароля от managerа можно как то изменить конфиги ??

Re: В Trxibox меняются исходящие маршруты

Добавлено: 01 окт 2011, 12:48
ded
madgals писал(а): Может можно как то удаленно менять настройки ?
Можно. Я знаю 4-5 способов (в зависимости от вариантов установки). Перечислять все?
Начать с простого: вас хакнули, у вас внутри уже живёт конык - rootkit. Им управлять можно даже из IRC, куда он создаёт соединение, и где все тусятся по теме Астериск, или по теме однополых браков, и где кое-кто из присутствующих (даже не оп!) условными словами управляет своими ботами-астерисками.

В любом случае, каким бы способом не воспользовались злоумышленники - грядёт новая эра телефонных хаков! Вместо того, чтобы находиить слабые незащищённые Триксы и Эластики и разом сливать все деньги с них на Кубу или Малайзию за 2-3 часа - будут подсаживать всех божьих коровок на золотые иголки и доить медленно и незаметно. Устойчивый надёжный заработок!

Re: В Trxibox меняются исходящие маршруты

Добавлено: 01 окт 2011, 13:56
Sfinx
Дистры дырявей триксов и еластиксов еще надо поискать. Хотя недавно мне тут как-то попался один эластикс даже с включенным selinux, но у него уже стоял дырявый астер ;) Дистрибутив это сложный комплекс из множества программ и политик безопасности, за которыми нужно все время следить, начиная от первого запуска и заканчивая каждым часом эксплуатации - если конечно это не местечковый intranet сервак. Например в Вашем случае совсем не обязательно ломать весь сервак - думаю достаточно через дырявый phpmyadmin подправить таблицу outbound routes и дождаться перезагрузки диалплана. Это как бы пример - их, как уже верно замечено - великое множество

Re: В Trxibox меняются исходящие маршруты

Добавлено: 01 окт 2011, 14:44
ded
Вот такая параллель:
допустим, есть проект Open Source - OpenBankomat :)
Который программят так же как Триксбокс и Эластикс - всем миром.
Сорцы которого любой ветки можно скачать в любой момент и разобрать по косточкам, увидеть такие трещинки в безопасности, которые разработчики не видят.
И который жадные банкиры ставят на свои банкоматы, потому что это бесплатный софт!
И это не в рамках какого-то одного банка, а по всему миру. И чтобы снимать кэш с этих автоматов умникам достаточно 2-3 прёмов ИТ-тайквондо.
Вот такая концепция.

Re: В Trxibox меняются исходящие маршруты

Добавлено: 01 окт 2011, 16:53
madgals
Нашел я в чем дело. и правда похакали. Скрипт я даже сохранил. Это ж какой ненормальный человек дал пользовтелю asterisk глобальные права на все ? )))
В общем скриптик удалил с сервера, сохранил его и на провайдерской циске закрыл любые пакеты для этого сервера, кроме порта udp 5060. Думал им чтонить в этот скрипт сам подсадить, а потом в логах нашел, что все это из под убунты делалось. И даже номер нашел, на который пытались звонить. Сам попробовал - звонок не прошел. Странно...

Код: Выделить всё

[Sep 30 18:30:28] VERBOSE[24711] logger.c:     -- Executing [s@macro-dialout-trunk:19] Dial("SIP/112-00000ac2", "DAHDI/g0/8102522168898,300,") in new stack
[Sep 30 18:30:28] WARNING[24711] app_dial.c: Unable to create channel of type 'DAHDI' (cause 34 - Circuit/channel congestion)
Я так понимаю, злоумышленники тоже позвонить не смогли ?

Re: В Trxibox меняются исходящие маршруты

Добавлено: 01 окт 2011, 17:05
madgals
кстати, есть какие нибудь специализированные анализаторы логов астериска ?

Re: В Trxibox меняются исходящие маршруты

Добавлено: 01 окт 2011, 18:29
Sfinx
grep ?

Re: В Trxibox меняются исходящие маршруты

Добавлено: 01 окт 2011, 18:44
rusya
madgals писал(а):Нашел я в чем дело. и правда похакали. Скрипт я даже сохранил.
Как похакали? Через что? Скрипт можно посмотреть?