Всем привет, буквально вчера поставил астериск 1.8.17.
Ставил из исходников, также сверху накатил FreePBX 2.10.
Сервак подключен к инету через Роутер, порты на него не прокинуты. Все пользователи звонят через софтфоны. Есть один транк. Внешний IP адрес статический.
Собственно что я сегодня увидел в CDR:
calldate,clid,src,dst,dcontext,channel,dstchannel,lastapp,lastdata,duration,billsec,disposition,amaflags,accountcode,uniqueid,userfield
2013-02-14 09:57:19,"201" <201>,201,s,from-sip-external,SIP/[Внешний IP]-0000001d,,Wait,2,0,0,ANSWERED,3,,1360821439.29,
2013-02-14 09:57:09,"201" <201>,201,s,from-sip-external,SIP/[Внешний IP]-0000001b,,Answer,,0,0,ANSWERED,3,,1360821429.27,
2013-02-14 08:10:13,"8080" <8080>,8080,s,from-sip-external,SIP/[Внешний IP]-0000001a,,Answer,,0,0,ANSWERED,3,,1360815013.26,
2013-02-14 03:45:31,"205" <205>,205,s,from-sip-external,SIP/[Внешний IP]-00000010,,Wait,2,1,1,ANSWERED,3,,1360799131.16,
2013-02-14 01:33:14,"2201" <2201>,2201,s,from-sip-external,SIP/[Внешний IP]-0000000c,,Answer,,0,0,ANSWERED,3,,1360791194.12,
2013-02-13 22:50:12,"1001" <1001>,1001,s,from-sip-external,SIP/[Внешний IP]-0000000b,,Answer,,0,0,ANSWERED,3,,1360781412.11,
2013-02-13 22:43:53,"201" <201>,201,s,from-sip-external,SIP/[Внешний IP]-00000009,,Answer,,0,0,ANSWERED,3,,1360781033.9,
2013-02-13 21:56:39,"1000" <1000>,1000,s,from-sip-external,SIP/[Внешний IP]-00000006,,Wait,2,1,1,ANSWERED,3,,1360778199.6,
Очень странно:
1. Номера которые указанны в clid не сущетсвуют в sip.conf
2. Звонок как-бы идет через внешний IP адрес и через контекст from-sip-external.
Я испугался, подумал ну все мандец взломали. НО....
Иду в смотреть логи астериска full.
1. Там нет звонков вообще по такой схеме которая указана в CDR. Зато в тоже время вот что было в логе full:
[2013-02-14 00:39:46] NOTICE[3877] chan_sip.c: Failed to authenticate device 103<sip:103@[Внешний IP]>;tag=27027fcd
[2013-02-14 00:39:47] NOTICE[3877] chan_sip.c: Failed to authenticate device 103<sip:103@[Внешний IP]>;tag=3dbe80f4
[2013-02-14 09:25:31] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=0f444c7e
[2013-02-14 09:25:32] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=56e74633
[2013-02-14 09:25:32] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=4b3376f5
[2013-02-14 09:25:33] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=927edcce
[2013-02-14 09:25:34] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=7b17985f
[2013-02-14 09:25:34] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=b9a90c43
[2013-02-14 09:25:35] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=04daee3a
Тут получается он пытается зарегестрировать сущетвующего пользователя через Внешний IP адрес, но естественно он посылается нах.
Смотрю логи secure, переборов паролей небыло и из лога не удалялись данные так как в этот момент там былb сообщениb что crond авторизовывался и делал бэкапы.
Анонимнные звонки в системе запрещены. Доступа из интернета к серверу нет. Выходит что попытки взлома идут из локальной сети. У клиентов софтфоны, и теоретически троян или вирус могли подхватить настройки софтона и тытаются долбиться на астериск.
Я сейчас конечно замусь локальной сетью, но я первый раз с таким сталкиваюсь. Сейчас еще буду закрыть доступ к WEB морде в локальной сети всем кроме кого нибудь одного и пароль в htaccess поставлю на директорию.
Подскажиет реально ли атака из локальной сети, т.к. раньше только сталкивался с атаками из интернета.
Поправил chansip.c, теперь будет выводить IP адрес злоумышленика, если клму интересен мой файл можете качнуть unix-sar.ru/share/chansip.c
Победил! Атак больше нет.
вот только недавно был похожий случай, все как вы описываете, только моих клиентов все таки взломали, правда провайдер оказался очень хорошим и почти сразу заблочил исходящие, ущерб был не большой. В конце концов выяснилось - порты таки были проброшены. Проверьте еще раз этот момент, если астер пишет в логах внешний адрес, значит что то у вас не ладно с пробросами портов.
Злобный Мыш ( 2013-02-14 11:33:07 +0400 )редактироватьУ него просто включен allowquest вот и все дела.
zzuz ( 2013-02-14 12:30:14 +0400 )редактироватьВыключу сегодня его allowguest=no. перенастроил маршрутизатор, еще раз проверил наличие прокинутых портов. Попросил всех в локалке запустить ручную проверку на вирусы. На 2-х машинах был "зверинец" - почистили. Посмотрю что завтра будет.
romariosar ( 2013-02-14 14:54:18 +0400 )редактироватьВ общем пляски продолжаются кто всетаки долбится на астериск. В логе Full появляются строки: chan_sip.c: Sending fake auth rejection for device 1080<sip:1080@[Внешний IP]>;tag=71b060d8 iptablesом закрыл все сети кроме локалки и IP провайдера. allowguest=no и alwaysauthreject = yes стоят. permit для каждого пользователя прописан. Как узнать с какого IP адреса идет долбежка?
romariosar ( 2013-02-15 13:28:02 +0400 )редактироватьc allowguest=no нет возможности послать неавторизированный инвайт.
zzuz ( 2013-02-15 15:55:04 +0400 )редактироватьAllow unknown access стоит no, сейчас правлю chan_sip.c чтобы выводил IP адрес атакующего.
romariosar ( 2013-02-15 16:00:56 +0400 )редактироватьПоправил chansip.c, теперь будет выводить IP адрес злоумышленика, если клму интересен мой файл можете качнуть unix-sar.ru/share/chansip.c
romariosar ( 2013-02-15 16:30:56 +0400 )редактироватьЭти полстроки мы и так давно уже знаем . А вот выкладывая лишний раз файл Вы обрекаете нас на очередные жалобы тех , кто скачает его и попытается скомпиллировать на другую версию астериска , хотя в теме вопроса эта версия указана.
zzuz ( 2013-02-15 16:59:21 +0400 )редактировать