101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged off from 127.0.0.1
Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:
[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user
UPD: это не точно не через ами. ФриПБХ его юзал активно просто.
UPD2: Выловил по логам, взломали через веб-морду. У меня стоит htaccess на папку html и стандартный htaccess на папки admin и maint. Так вот где дыра: чтоб зайти в папку maint надо пройти 2 шага аутентификации, а в папку admin - всего один (тот что maint). В чём глюк?
посмотрите вариант взлома через веб-сервер. у себя смотрю тоже народ старается найти пхпадмин и другие знакомые плюшки на сервере..
А может дело в этой уязвимости? http://asteriskblog.ru/2011/05/17/trixbox-ce-ne-zadokumentirovannoe-web-administriro/
Держитесь, TrixBox'еры :-))
fail2ban по voip-info.org настроили? он нефига не работает. надо еше правила в iptables добавлять чтоб считали количество именно регистраций с адреса. обращайтесь к проффесионалам.
на вопрос как поламали - просто
шлется регистрация, в регистер обратный адерс ставиться 127.0.0.1. в астриске соотвественно в логах пишет registration failed from xxxx@127.0.0.1.
отсбда fail2ban настроенный по voip-info и другим статьсям того же уровня в интеренете видит адрес 127.0.0.1. этот адрес даже не баниться. ибо он в fail2ban по умолчанию в белый список входит.
а ответ уходит по реально му адресу. тоесть перебор работает. вот так все грустно.
А чего просто deny= не навесить у пира всем внешним?
так взломали перебором в итоге? ставьте взломоустойчивые пароли тогда.
Задан: 2011-05-24 20:47:54 +0400
Просмотрен: 3,231 раз
Обновлен: May 25 '11
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.