ВидеоКонф(ВКС)  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Поломали астера.

Разговоры на кухне

Модераторы: april22, Zavr2008

Поломали астера.

Сообщение kramer75 » 30 мар 2016, 10:10

Доброго дня.

Пожаловался клиент на счета, шо приходят както бОльше ожиданного.

Расследование указало на наличие левого транка и привязаного к нему роута.

Это получается взломали вебморду путем мне неизвестным. И прописали...


Детали заботливо выкладываю: (мошт кому пригодится :))
СИД:442035198194

PEER Details:
username=59122
user=59122
type=friend
secret=1234Bizitel56
qualify=yes
insecure=port,invite
host=178.63.143.236
fromuser=442035198194
context=from-trunk
authname=59122

регистрационная строка: 59122:1234Bizitel56@178.63.143.236
Аватар пользователя
kramer75
 
Сообщений: 27
Зарегистрирован: 17 мар 2016, 12:36
Откуда: Kyiv

Re: Поломали астера.

Сообщение _Pavel_ » 30 мар 2016, 11:26

ip-шник вот этих ребят didlogic.com
https://didlogic.com/support/setup-guid ... k-callerid
Клиент точно к ним не подключался?
_Pavel_
 
Сообщений: 32
Зарегистрирован: 16 июл 2015, 17:31

Re: Поломали астера.

Сообщение kramer75 » 30 мар 2016, 14:30

ip-шник вот этих ребят didlogic.com
https://didlogic.com/support/setup-guid ... k-callerid
Клиент точно к ним не подключался?


а пёс его знает. я как включил сипдебаг - ужоснулся, поменял ип адрес шоб дальше не списывались деньги.
видел чтото типа friendlyscanner с адреса 100@1.1.1.1 и пакеты на ип адреса, которых в иптаблес не указано. (иптаблес разрешал 2 офиса и пров, итого 3 ип). ответ сервера -REGISTERED.
абонента 100 не существовало, создал его с тяжелым паролем - по барабану -звонки типа как изнутри.
еще в билинге замечены звонки от абонента 105, такой в принципе есть, но телефон на него не подключен.
в общем хацкеры оказались смышлёные. переустановил всё заново, старую виртуалку оставил для опытов - мошт когдато докумекаю как поломали... :)
Аватар пользователя
kramer75
 
Сообщений: 27
Зарегистрирован: 17 мар 2016, 12:36
Откуда: Kyiv

Re: Поломали астера.

Сообщение ded » 30 мар 2016, 17:15

Три распространённых способа пролома (по частоте случаев)
1) Через вэб управлялки, методом типа PHP-inject, например во FreePBX долгое время - через старый модуль Asterisk recording interface
2) Через порт AMI (особенно если экспериментировали в manager.conf с alow & deny)
3) Брутфорс паролей.
Последний метод срабатывал только если не было ограничения сессий и система без fail2ban или со съехавшим fail2ban

Смотрите по датам создания, совпадающим с началом слива трафика, если давно, то http логов уже не найти.
ded
 
Сообщений: 15801
Зарегистрирован: 26 авг 2010, 19:00

Re: Поломали астера.

Сообщение kramer75 » 31 мар 2016, 10:19

Три распространённых способа пролома (по частоте случаев)
1) Через вэб управлялки, методом типа PHP-inject, например во FreePBX долгое время - через старый модуль Asterisk recording interface
2) Через порт AMI (особенно если экспериментировали в manager.conf с alow & deny)
3) Брутфорс паролей.
Последний метод срабатывал только если не было ограничения сессий и система без fail2ban или со съехавшим fail2ban

Смотрите по датам создания, совпадающим с началом слива трафика, если давно, то http логов уже не найти.


Спасибо за наводку.
1. старый модуль Asterisk recording interface в 12 версии присутствует? Если да, как бы его выключить?
2. в manager.conf после работы с вебинтерфейсом с "yes" переключаю на "no". Считал шо это ускладнит работу кулхакеров... Так как процентов 80 тогочто можно изменить в вебуправлении- не работает. Неужто такой маневр наоборот помогает?
3. все пароли 8+. без fail2ban, ограничения сессий нет....
странно что звонки шли сквозь иптаблес, как будто его нет. а он есть.

Начало слива трафика произошло в конце января... Боюсь шо всьо кануло. Кстати шоб http логи писались - их надо включить. Чего не делалось.
Аватар пользователя
kramer75
 
Сообщений: 27
Зарегистрирован: 17 мар 2016, 12:36
Откуда: Kyiv

Re: Поломали астера.

Сообщение ded » 31 мар 2016, 11:22

Скорбим, помним.
Остерегайтесь оверквотинга (полное цитирование предыдущего поста), это инфернальный признак!
ded
 
Сообщений: 15801
Зарегистрирован: 26 авг 2010, 19:00

Re: Поломали астера.

Сообщение kramer75 » 31 мар 2016, 13:05

Остерегайтесь оверквотинга (полное цитирование предыдущего поста), это инфернальный признак!


у блн, думал "оверквотинг" это пиво после вискаря. Век живи - век учись.
Аватар пользователя
kramer75
 
Сообщений: 27
Зарегистрирован: 17 мар 2016, 12:36
Откуда: Kyiv

Re: Поломали астера.

Сообщение Obi Van » 01 апр 2016, 11:07

kramer75
Сочувствуем ((
Всё таки лучше поставить туда fail2ban. Прилепить monast, который бы следил за работоспособностью демона fail2ban (вдруг рухнет). Пересмотреть настройки apache, чтобы он не слушал внешние интерфейсы. Порт AMI 5038 тоже нет нужды, чтобы телепался на внешке.
Аватар пользователя
Obi Van
 
Сообщений: 340
Зарегистрирован: 03 сен 2010, 11:21

Re: Поломали астера.

Сообщение kramer75 » 05 апр 2016, 12:43

Obi Van
Пересмотреть настройки apache, чтобы он не слушал внешние интерфейсы


возможно есть какойто универсальный рецепт, что именно подправить в настройках httpd ?

Заранее спасибо.
Аватар пользователя
kramer75
 
Сообщений: 27
Зарегистрирован: 17 мар 2016, 12:36
Откуда: Kyiv

Re: Поломали астера.

Сообщение Obi Van » 05 апр 2016, 14:15

Код: выделить все
netstat -atnup | grep apache

Что выдаёт?
В настройках апач поставить прослушивание только внутреннего IP.
В межсетевом экране (кусок из iptables.up.rules):
Код: выделить все
-A INPUT -p tcp -m tcp -i <внешний интерфейс в интернет> --dport 80 -j LOGDROP
-A INPUT -j LOGDROP
-A LOGDROP -p tcp -m tcp -j LOG  --log-prefix "TCP LOGDROP: " --log-level 7
-A LOGDROP -p udp -m udp -j LOG  --log-prefix "UDP LOGDROP: " --log-level 7
-A LOGDROP -j DROP

В логах будет видно кто сосбно ломился, а потом он будет дропнут.
Аватар пользователя
Obi Van
 
Сообщений: 340
Зарегистрирован: 03 сен 2010, 11:21

След.

Вернуться в Лаборатория болтологии

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7

© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH