ВидеоКонф(ВКС)  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Взломали Asterisk. Как они это делают?

Новичком считается только что прочитавший «Астериск - будущее телефонии»
http://asterisk.ru/knowledgebase/books
и пытающийся сделать большее

Модераторы: april22, Zavr2008

Взломали Asterisk. Как они это делают?

Сообщение proxxs » 04 мар 2019, 23:33

Всем привет!
Стоит тестовый Астериск, настроен iptables на работу с TCP SSH и UDP 5060, все остальное DROP. fail2ban отправляет в бан на месяц после одного неверного ввода пароля по SSH или учетки Астериск.
В sip.conf всего одна учетка, сложный пароль из 10 знаков, alwaysauthreject=yes, allowguest=no. На SSH такой же сложный пароль.
Вроде все хорошо было, пока в один прекрасный день мой телефон не прорвало шквалом звонков (все вызовы зарулил на свой мобильный, чтобы сразу увидеть подобные взломы).
Поменял пароли на 20 символов - через час снова шквал звонков.

Начал гуглить, поставил rkhunter, просканировал - все ок. Закрыл PermitRootLogin no в sshd_config.
В /etc/passwd установил root:x:0:0:root:/root:/sbin/nologin.
Снова поменял пароли - безрезультатно, шквал звонков.

Плюнул, отключил fail2ban и полностью закрылся iptables:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- МОЯ_БЕЛАЯ_СЕТЬ/24 anywhere
DROP all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere МОЯ_БЕЛАЯ_СЕТЬ/24
DROP all -- anywhere anywhere

Звонки прекратились, а в дампе стал замечать постоянные User-Agent: friendly-scanner:
OPTIONS 100@1.1.1.1 100@1.1.1.1 1 185.53.88.105:5070

Ну Вот как???? Почему их пропускает файрвол?
И как меня взломали? Почему пароли любой сложности не помогают вообще?
proxxs
 
Сообщений: 16
Зарегистрирован: 16 янв 2019, 21:49

Re: Взломали Asterisk. Как они это делают?

Сообщение Kroteg » 05 мар 2019, 08:15

Так может 5060 только для софтсвича открыть?
Изображение
Аватар пользователя
Kroteg
 
Сообщений: 195
Зарегистрирован: 11 янв 2018, 14:51

Re: Взломали Asterisk. Как они это делают?

Сообщение Ferrum » 05 мар 2019, 09:14

Нужно больше инфы:
И не факт что сломали астериск, ваши пароли видят.
Аватар пользователя
Ferrum
 
Сообщений: 333
Зарегистрирован: 25 ноя 2011, 15:16

Re: Взломали Asterisk. Как они это делают?

Сообщение ded » 05 мар 2019, 11:32

Все описанные выше мероприятия - по принципу "волшебный порошок": посыпал - не помогает!
Анализировать надо, логи изучать, а не пароли удлинять.
ded
 
Сообщений: 15801
Зарегистрирован: 26 авг 2010, 19:00

Re: Взломали Asterisk. Как они это делают?

Сообщение siti » 05 мар 2019, 15:49

Сканеры в дампе так и будут постоянно, пока не смените порт на нестандартный.
Есть решения как блокировать сканеры по User-Agent, но это не панацея, т.к. много сканеров с нестандартными именами или имитируют телефоны. Просто через ACCEPT all -- МОЯ_БЕЛАЯ_СЕТЬ/24 anywhere DROP all -- anywhere anywhere они не убиваются.

Как только смените порт 5060 на другой, то актвность ботов снизится до 0. Проверено лично. Если конечно вас не будут ломать целенаправленно.
siti
 
Сообщений: 1
Зарегистрирован: 05 мар 2019, 15:43

Re: Взломали Asterisk. Как они это делают?

Сообщение Zavr2008 » 07 мар 2019, 14:02

Я лично на Микротике решаю эти вопросы через ловушку и L7 фильтр)
Делаем элементарное - там просто на UDP/5060 на внешке от всего мира вешаем ловушку и отправляем всех прямоходом в бан по Src IP.
Сканеры они же примитивные - идут по нарастанию портов, проброс порта делаем с порта выше)
После 5060 они сразу попадают в залёт и уже ничего не смогут сделать.

Плюс настраиваем L7 фильтр для умельцев кто целенаправленно долбит именно Вас.
Российские шлюзы E1 Alvis-GW. Модернизация УПАТС с E1, Установка FreePBX, Системы антифрод "в разрыв" потоков E1 PRI / SS#7 ISUP.
Аватар пользователя
Zavr2008
 
Сообщений: 2158
Зарегистрирован: 27 янв 2011, 01:35

Re: Взломали Asterisk. Как они это делают?

Сообщение Ferrum » 11 мар 2019, 15:17

В чём плюс ловушки на Микротике перед fail2ban, можете скинуть часть конфига от Микротика который затрагивает эту ловушку ?
Аватар пользователя
Ferrum
 
Сообщений: 333
Зарегистрирован: 25 ноя 2011, 15:16

Re: Взломали Asterisk. Как они это делают?

Сообщение Zavr2008 » 13 мар 2019, 12:35

в том, что стоит ДО астера, соотвественно нагрузка на него не падает - а шум сканеров бывает довольно большим.

Нужно посещать AsterConf - там о том как ее делать неоднократно рассказывается и показывается каждый год..
Российские шлюзы E1 Alvis-GW. Модернизация УПАТС с E1, Установка FreePBX, Системы антифрод "в разрыв" потоков E1 PRI / SS#7 ISUP.
Аватар пользователя
Zavr2008
 
Сообщений: 2158
Зарегистрирован: 27 янв 2011, 01:35

Re: Взломали Asterisk. Как они это делают?

Сообщение proxxs » 16 мар 2019, 13:36

Все это хорошо, конечно, - сменить порты, настроить антиспам-фильтры, но это ведь не панацея. Хочется понять КАК они это делают?!!
Открыл вчера вечером UDP SIP, RTP. SSH закрыл. Еще раз сменил IP на SIP-учетке и стал ждать. В час ночи прилетел звонок. Вот что увидел в логах var/log/asterisk/messages:
[2019-03-16 01:38:32] VERBOSE[1487][C-00000330] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:38:32] VERBOSE[24877][C-00000330] pbx.c: Executing [9011441792959946@phone:1] Dial("SIP/1000-00000004", "SIP/beeline/мой_номер,,Tt") in new stack
[2019-03-16 01:38:32] VERBOSE[1487][C-00000331] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:38:32] VERBOSE[24878][C-00000331] pbx.c: Executing [901148717079003@phone:1] Dial("SIP/1000-00000005", "SIP/beeline/мой_номер,,Tt") in new stack
[2019-03-16 01:38:32] VERBOSE[24877][C-00000330] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:38:32] VERBOSE[24878][C-00000331] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:38:32] VERBOSE[24877][C-00000330] app_dial.c: Called SIP/beeline/мой_номер
[2019-03-16 01:38:32] VERBOSE[24878][C-00000331] app_dial.c: Called SIP/beeline/мой_номер
[2019-03-16 01:38:33] VERBOSE[24877][C-00000330] app_dial.c: SIP/beeline-00000006 is making progress passing it to SIP/1000-00000004
[2019-03-16 01:38:35] VERBOSE[24878][C-00000331] app_dial.c: SIP/beeline-00000007 is making progress passing it to SIP/1000-00000005
[2019-03-16 01:38:36] VERBOSE[24878][C-00000331] app_dial.c: SIP/beeline-00000007 is ringing
[2019-03-16 01:38:39] VERBOSE[24877][C-00000330] app_dial.c: SIP/beeline-00000006 is ringing
[2019-03-16 01:38:39] VERBOSE[24877][C-00000330] app_dial.c: SIP/beeline-00000006 answered SIP/1000-00000004
[2019-03-16 01:38:39] VERBOSE[24879][C-00000330] bridge_channel.c: Channel SIP/beeline-00000006 joined 'simple_bridge' basic-bridge <f8d1556f-2f2f-41a1-90ba-5447719d0088>
[2019-03-16 01:38:39] VERBOSE[24877][C-00000330] bridge_channel.c: Channel SIP/1000-00000004 joined 'simple_bridge' basic-bridge <f8d1556f-2f2f-41a1-90ba-5447719d0088>
[2019-03-16 01:38:52] VERBOSE[24878][C-00000331] app_dial.c: SIP/beeline-00000007 is ringing
[2019-03-16 01:38:52] VERBOSE[24878][C-00000331] app_dial.c: SIP/beeline-00000007 answered SIP/1000-00000005
[2019-03-16 01:38:52] VERBOSE[24880][C-00000331] bridge_channel.c: Channel SIP/beeline-00000007 joined 'simple_bridge' basic-bridge <64939e84-3efc-4b75-b7c6-7ee0457ceb1a>
[2019-03-16 01:38:52] VERBOSE[24878][C-00000331] bridge_channel.c: Channel SIP/1000-00000005 joined 'simple_bridge' basic-bridge <64939e84-3efc-4b75-b7c6-7ee0457ceb1a>
[2019-03-16 01:39:04] VERBOSE[1487][C-00000335] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] pbx.c: Executing [0048717079003@phone:1] Dial("SIP/1000-00000008", "SIP/beeline/мой_номер,,Tt") in new stack
[2019-03-16 01:39:04] VERBOSE[1487][C-00000336] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] pbx.c: Executing [00441792959946@phone:1] Dial("SIP/1000-00000009", "SIP/beeline/мой_номер,,Tt") in new stack
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] app_dial.c: Called SIP/beeline/мой_номер
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] app_dial.c: Called SIP/beeline/мой_номер
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] app_dial.c: SIP/beeline-0000000b redirecting info has changed, passing it to SIP/1000-00000009
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] app_dial.c: SIP/beeline-0000000a redirecting info has changed, passing it to SIP/1000-00000008
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] app_dial.c: SIP/beeline-0000000b is busy
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] app_dial.c: SIP/beeline-0000000a is busy
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] app_dial.c: Everyone is busy/congested at this time (1:1/0/0)
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] app_dial.c: Everyone is busy/congested at this time (1:1/0/0)
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] pbx.c: Auto fallthrough, channel 'SIP/1000-00000008' status is 'BUSY'
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] pbx.c: Auto fallthrough, channel 'SIP/1000-00000009' status is 'BUSY'
Регистраций с 1000 в логе нет!
var/log/secure и var/log/messages пустые.
proxxs
 
Сообщений: 16
Зарегистрирован: 16 янв 2019, 21:49

Re: Взломали Asterisk. Как они это делают?

Сообщение virus_net » 17 мар 2019, 10:19

Это обычный сканер, который прощупывает порт 5060 и если отвечают то шлет INVITE на попытку прозвона.
В вашем случае на 0048717079003. Вот тут мы таких собираем и записываем в базу плохишей :)
Код: выделить все
[scaners]
exten => s,1,NoOp(Call from (${CHANNEL(recvip)}:0) to extension '${DIALED_EXTEN}' invalid)
exten => s,n,NoOp(recvip: ${CHANNEL(recvip)})
exten => s,n,NoOp(peerip: ${CHANNEL(peerip)})
exten => s,n,NoOp(URI: ${SIPURI})
exten => s,n,NoOp(Via: ${SIP_HEADER(Via)})
exten => s,n,NoOp(CONTACT: ${SIP_HEADER(CONTACT)})
exten => s,n,NoOp(CID: ${CALLERID(all)})
exten => s,n,NoOp(Remote-Party-ID: ${SIP_HEADER(Remote-Party-ID)})
exten => s,n,NoOp(User agent: ${SIPUSERAGENT})
exten => s,n,GotoIf($[${LEN(${DIALED_EXTEN})} > 11]?api:exit)
exten => s,n(api),Set(api=${SHELL(/usr/local/bin/php /usr/local/sbin/scripts/asterisk/frod_client.php ${DIALED_EXTEN} ${CHANNEL(recvip)})})
exten => s,n,NoOp(API RESULT: ${api})
exten => s,n(exit),Hangup(21)

Вот тут я рассказывал про одну из утилит, которыми пользуются эти люди. Вот вам invite генератор.
Ну и т.п.
мой SIP URI sip:virus_net@asterisk.ru
bitname.ru - Домены .bit (namecoin) .emc .coin .lib .bazar (emercoin)

ENUMER - звони бесплатно и напрямую.
virus_net
 
Сообщений: 2337
Зарегистрирован: 05 июн 2013, 08:12
Откуда: Москва

След.

Вернуться в Вопросы новичков

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 15

© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH