Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Враги создают новый экстеншн

1

Доброго времени суток, камрады. Заранее извиняюсь за, возможно, нубский вопрос - до этого ip-телефонией не занимался никогда, а тут вот озадачили. Ситуация такая: Есть сервер под CentOS с астериском и эластиксом. На нем есть транк в сипнет. И его ломают всякие нехорошие люди. Сделано следующее: прописан alwaysauthreject=yes, у всех пиров прописан deny/permit родной сети, настроен fail2ban на логи ssh и астера, пароли экстеншнов отличаются от самих экстеншнов. Враги каким-то образом создают новый экстеншн и с него идут международные звонки. По ssh доступа никто не получал (если верить логам конечно). На веб-интерфейсе эластикса пароль тоже не самый простой. Подскажите плиз, как победить напасть?

удалить закрыть спам изменить тег редактировать

спросил 2012-06-26 09:33:45 +0400

dr-faust Gravatar dr-faust
11 1 3

6 Ответов

1

не надо выставлять еластикс в интернет.

и все будет прекрасно. тут была тема с уязвимостью в /recordings/, поищите.

а вообще надо закрыть полностью ВЕСЬ веб паролем. можно простым.

ссылка удалить спам редактировать

ответил 2012-06-26 09:53:08 +0400

meral Gravatar meral flag of Ukraine
21228 23 18 169
http://pro-sip.net/

Comments

К сожалению эластикс наружу необходим для администрирования удаленных офисов. (я знаю про vpn, но не все от меня зависит, поэтому пока так.) А не могли бы вы пояснить фразу "закрыть полностью ВЕСЬ веб паролем"?

dr-faust ( 2012-06-26 10:16:42 +0400 )редактировать

http access basic в гугл. и там смотрите как закрыть все паролем. в

meral ( 2012-06-26 13:33:53 +0400 )редактировать

Спасибо за наводку. Буду копать в этом направлении.

dr-faust ( 2012-06-26 14:33:35 +0400 )редактировать
1

Дыры в php и коде самого Эластикса. Избавится от этого можно лишь закрыв к чертям вебморду, оставив лишь список доверенных хостов откуда он админится. Проще всего через iptables.
Как закрыть паролем ? Ну мусье вы даете .... Читать маны по htaccess и апачу - там все написано.

ссылка удалить спам редактировать

ответил 2012-06-26 10:51:01 +0400

CheeZ Gravatar CheeZ
1055 6 6 24

Comments

Нене. Как - я знаю. Я не вполне уверен что понял верно именно фразу "ВЕСЬ веб". Имеется ввиду именно то, что вы сказали? Разрешить доступ к веб-консоли только с определенных ip?

dr-faust ( 2012-06-26 11:10:47 +0400 )редактировать

Всю вебморду закрыть просто и тупо -берем паролим корень апача и дело с концом + в фаере правила на доступ только с определенных IP.

CheeZ ( 2012-06-26 11:21:32 +0400 )редактировать

Это я сделаю. Спасибо. Но мне кажется пробираются как-то по другому. Если враг получил доступ к веб-админке - то там пароль к сипу лежит в открытом виде. Бери и пользуйся К чему сложности с созданием новых экстеншнов. Кстати, забыл сказать, еще зачем-то исходящие маршруты сносятся.

dr-faust ( 2012-06-26 11:52:21 +0400 )редактировать

Не совсем так, в силу древности версии пхп используемого в эластиксе и дырявости кода различных его кусков есть возможность прямых инъекций в диалплан, т. е. тебе изменения вносят через AMI, минуя прямой доступ к конфигам.

CheeZ ( 2012-06-26 13:23:10 +0400 )редактировать

Вон оно как. Значит буду думать, как прикрыть доступ к веб-морде. Благодарю за разъяснения.

dr-faust ( 2012-06-26 14:32:00 +0400 )редактировать
1

можно поставить перед компом с эластиксом тот же squid проксю, сделать доступным вебморду по какому-нить нестандартному пути ну и с http авторизацией внешней.

ссылка удалить спам редактировать

ответил 2012-06-26 11:24:39 +0400

Zavr2008 Gravatar Zavr2008 flag of Russian Federation
2686 11 9 37
http://mh.otx.ru/

Comments

в этом случае всякие ломаки на php my admin идут лесом :)

Zavr2008 ( 2012-06-26 11:25:22 +0400 )редактировать

В конкретной ситуации маловероятен такой вариант, но идея интересная. Благодарю. Я запомню.

dr-faust ( 2012-06-26 11:53:46 +0400 )редактировать
1

Т.е. у вас эластикс торчит наружу всеми открытыми портами? Это мягко говоря совсем несекьюрно, поставьте его хотя бы за НАТ и разрешите коннекты на конкретные порты только, тот же 5060 (если есть внешние клиенты), если внешних нет - то и пробрасывать ничего не надо. Или настройте iptables на центосе по нормальному. По дефолту цепочку INPUT в DROP, accept только с определённых адресов если надо

ссылка удалить спам редактировать

ответил 2012-06-27 16:38:35 +0400

asdev Gravatar asdev flag of Ukraine
244 21 5 15

Comments

За нат пока нет возможности убрать, а вот второй вариант, вместе с другими предложенными здесь, использую. Благодарю за ответ.

dr-faust ( 2012-06-28 12:48:28 +0400 )редактировать

только настраивайте iptables аккуратно, иначе можно потерять доступ к серваку. В идеале - если на сервере есть что-то типа ip-kvm

asdev ( 2012-06-28 15:16:38 +0400 )редактировать
1

Повесьте элементарно htaccess на веб. И можно еще попробовать ограничить экстеншены с которых можно звонить в транк.

ссылка удалить спам редактировать

ответил 2012-06-26 16:53:21 +0400

telefonist Gravatar telefonist
61 16 6

Comments

В этом направлении и действуем. Спасибо.

dr-faust ( 2012-06-28 12:45:12 +0400 )редактировать
0

По моему вот так Вас сделали :)

ссылка удалить спам редактировать

ответил 2012-06-26 16:59:01 +0400

alexcr Gravatar alexcr
3124 10 9 51
http://asterisk-service.c...

Comments

По методу, описанному в той заметке, выдается 404. Тем более судя по методу взлома права админа получены не были.

dr-faust ( 2012-06-28 12:38:11 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2012-06-26 09:33:45 +0400

Просмотрен: 988 раз

Обновлен: Jun 27 '12

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.