Меня поломали?

[SolarW]

Здравствуйте уважаемое сообщество.

Столкнулся с такой проблемой.
Есть у меня настроенная конфигурация - asterisk, a2billing, несколько пользователей помаленьку звонят через Voicetrading.
Получаю из Voicetrading'а уведомление - у вас деньги на счету закончились.
Удивляюсь, захожу в статистику, вижу несколько сотен звонков куда-то на мобильные в Словению в течении одного часа обнулившие мой баланс.
Первая мысль - проломили подбором мой астериск и через него слили трафик.
Иду смотрю логи - ничего подобного, никаких левых звонков не зарегистрировано, обычные неудачные попытки подбора паролей.
Вторая мысль - подобрали пароль на ssh.
Опять же просмотр логов ничего не дал - accepted по ssh только с моих адресов и в то время когда я помню что туда заходил.

Вопрос - каким методом меня могли поломать?
Остается 0.01% вероятности на то что это какой-то глюк у Voicetrading'а но я в этом крайне сомневаюсь...

[ded]

Таки да! И не удивляюсь, ибо многих (но не нас) наших и не наших клиентов к примеру за выходные вскрывали тыщь на 8 евров. Проигнорировал тему fail2ban? Вот и получи(лось).
Если есть у тебя биллинг, то ты увидишь - какой SIP пароль на регистрацию оказался слабым, через него и слили.

[SolarW]

Таки да, по воле случая это оказалась единственная в моем хозяйстве машинка без fail2ban - надеялся что длинные username/pass сгенеренные a2billing'ом окажутся стойкими к подбору.

Но один вопрос мне не дает покоя - как можно было через меня слить этот трафик не оставив НИ ОДНОЙ записи в логах? Ни в CDR'ах a2billing'а, ни в /var/log/asterisk/full...

[SolarW]

Добавлю для иллюстрации лог.
Первый не мой звонок по статистике VoiceTraiding'а был 16.09.2010 23:16:32, последний в 17.09.2010 00:32:36.
У меня timezone на час позже соответственно по моему времени это было с 17.09.2010 00:16:32 по 17.09.2010 01:32:36.

[Показать] Спойлер: /var/log/asterisk/full

[Sep 17 00:14:26] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:4670@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 00:16:30] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:stefanie@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 00:22:45] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:2950@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 00:25:47] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:1100@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 00:29:12] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:sipphone@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 00:29:47] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:4120@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 00:33:51] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:2860@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 00:36:03] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:260@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 00:36:14] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:1050@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 00:36:49] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:100@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 00:42:56] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:980@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 00:45:52] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:280@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:00:09] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:4070@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:02:40] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:2740@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:20:10] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:sara@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:25:01] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:9740@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:30:46] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:') or ('a'='a@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:31:07] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:2540@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:36:34] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:9690@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:43:35] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:7170@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:43:49] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:2690@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:44:09] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:2490@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:44:13] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:9620@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found
[Sep 17 01:44:26] NOTICE[2529] chan_sip.c: Registration from '"anon anon" <sip:2420@myserver.mydomain.ua>' failed for '93.13.44.149' - No matching peer found

[ded]

Первый не мой звонок по статистике VoiceTraiding'а был 16.09.2010 23:16:32, последний в 17.09.2010 00:32:36.
Первый не мой звонок по статистике VoiceTraiding'а был 16.09.2010 23:16:32, последний в 17.09.2010 00:32:36.

То есть вссё время слива = час и 15 минут примерно?
cat /var/log/asterisk/full | grep "[Sep 17 00:1" даст общий фрагментарный вид событий, а
cat /var/log/asterisk/full | grep "[Sep 17 00:1" | grep Voicetrading даст точный ответ - были звонки через Voicetrading в это время или нет.

[SolarW]

Там grep'ать нечего.
Весь лог за этот промежуток времени под спойлером в моем предыдущем сообщении.

[ded]

Перехватили/умыкнули через rootkit логин в Voicetrading?

[SolarW]

Нет, все оказалось проще.
На этой машинке не был запрещен дефолтовый пользователь wwwadmin с паролем password.
С этими параметрами срисовали параметры транка на VoiceTrading.

В следующий раз буду внимательнее.
Ну и мой дорогой (в буквальном смысле) опыт надеюсь кому-нибудь поможет избежать попадания на деньги.