Доброго времени суток, камрады. Заранее извиняюсь за, возможно, нубский вопрос - до этого ip-телефонией не занимался никогда, а тут вот озадачили. Ситуация такая: Есть сервер под CentOS с астериском и эластиксом. На нем есть транк в сипнет. И его ломают всякие нехорошие люди. Сделано следующее: прописан alwaysauthreject=yes, у всех пиров прописан deny/permit родной сети, настроен fail2ban на логи ssh и астера, пароли экстеншнов отличаются от самих экстеншнов. Враги каким-то образом создают новый экстеншн и с него идут международные звонки. По ssh доступа никто не получал (если верить логам конечно). На веб-интерфейсе эластикса пароль тоже не самый простой. Подскажите плиз, как победить напасть?
не надо выставлять еластикс в интернет.
и все будет прекрасно. тут была тема с уязвимостью в /recordings/, поищите.
а вообще надо закрыть полностью ВЕСЬ веб паролем. можно простым.
К сожалению эластикс наружу необходим для администрирования удаленных офисов. (я знаю про vpn, но не все от меня зависит, поэтому пока так.) А не могли бы вы пояснить фразу "закрыть полностью ВЕСЬ веб паролем"?
dr-faust ( 2012-06-26 10:16:42 +0400 )редактироватьhttp access basic в гугл. и там смотрите как закрыть все паролем. в
meral ( 2012-06-26 13:33:53 +0400 )редактироватьСпасибо за наводку. Буду копать в этом направлении.
dr-faust ( 2012-06-26 14:33:35 +0400 )редактироватьДыры в php и коде самого Эластикса. Избавится от этого можно лишь закрыв к чертям вебморду, оставив лишь список доверенных хостов откуда он админится. Проще всего через iptables.
Как закрыть паролем ? Ну мусье вы даете .... Читать маны по htaccess и апачу - там все написано.
Нене. Как - я знаю. Я не вполне уверен что понял верно именно фразу "ВЕСЬ веб". Имеется ввиду именно то, что вы сказали? Разрешить доступ к веб-консоли только с определенных ip?
dr-faust ( 2012-06-26 11:10:47 +0400 )редактироватьВсю вебморду закрыть просто и тупо -берем паролим корень апача и дело с концом + в фаере правила на доступ только с определенных IP.
CheeZ ( 2012-06-26 11:21:32 +0400 )редактироватьЭто я сделаю. Спасибо. Но мне кажется пробираются как-то по другому. Если враг получил доступ к веб-админке - то там пароль к сипу лежит в открытом виде. Бери и пользуйся К чему сложности с созданием новых экстеншнов. Кстати, забыл сказать, еще зачем-то исходящие маршруты сносятся.
dr-faust ( 2012-06-26 11:52:21 +0400 )редактироватьНе совсем так, в силу древности версии пхп используемого в эластиксе и дырявости кода различных его кусков есть возможность прямых инъекций в диалплан, т. е. тебе изменения вносят через AMI, минуя прямой доступ к конфигам.
CheeZ ( 2012-06-26 13:23:10 +0400 )редактироватьВон оно как. Значит буду думать, как прикрыть доступ к веб-морде. Благодарю за разъяснения.
dr-faust ( 2012-06-26 14:32:00 +0400 )редактироватьможно поставить перед компом с эластиксом тот же squid проксю, сделать доступным вебморду по какому-нить нестандартному пути ну и с http авторизацией внешней.
в этом случае всякие ломаки на php my admin идут лесом :)
Zavr2008 ( 2012-06-26 11:25:22 +0400 )редактироватьВ конкретной ситуации маловероятен такой вариант, но идея интересная. Благодарю. Я запомню.
dr-faust ( 2012-06-26 11:53:46 +0400 )редактироватьТ.е. у вас эластикс торчит наружу всеми открытыми портами? Это мягко говоря совсем несекьюрно, поставьте его хотя бы за НАТ и разрешите коннекты на конкретные порты только, тот же 5060 (если есть внешние клиенты), если внешних нет - то и пробрасывать ничего не надо. Или настройте iptables на центосе по нормальному. По дефолту цепочку INPUT в DROP, accept только с определённых адресов если надо
За нат пока нет возможности убрать, а вот второй вариант, вместе с другими предложенными здесь, использую. Благодарю за ответ.
dr-faust ( 2012-06-28 12:48:28 +0400 )редактироватьтолько настраивайте iptables аккуратно, иначе можно потерять доступ к серваку. В идеале - если на сервере есть что-то типа ip-kvm
asdev ( 2012-06-28 15:16:38 +0400 )редактироватьПовесьте элементарно htaccess на веб. И можно еще попробовать ограничить экстеншены с которых можно звонить в транк.
По моему вот так Вас сделали :)
По методу, описанному в той заметке, выдается 404. Тем более судя по методу взлома права админа получены не были.
dr-faust ( 2012-06-28 12:38:11 +0400 )редактироватьЗадан: 2012-06-26 09:33:45 +0400
Просмотрен: 1,207 раз
Обновлен: Jun 27 '12
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
