Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Странное поведение Asterisk

0

Всем привет, буквально вчера поставил астериск 1.8.17. Ставил из исходников, также сверху накатил FreePBX 2.10. Сервак подключен к инету через Роутер, порты на него не прокинуты. Все пользователи звонят через софтфоны. Есть один транк. Внешний IP адрес статический.

Собственно что я сегодня увидел в CDR:

calldate,clid,src,dst,dcontext,channel,dstchannel,lastapp,lastdata,duration,billsec,disposition,amaflags,accountcode,uniqueid,userfield
2013-02-14 09:57:19,"201" <201>,201,s,from-sip-external,SIP/[Внешний IP]-0000001d,,Wait,2,0,0,ANSWERED,3,,1360821439.29,
2013-02-14 09:57:09,"201" <201>,201,s,from-sip-external,SIP/[Внешний IP]-0000001b,,Answer,,0,0,ANSWERED,3,,1360821429.27,
2013-02-14 08:10:13,"8080" <8080>,8080,s,from-sip-external,SIP/[Внешний IP]-0000001a,,Answer,,0,0,ANSWERED,3,,1360815013.26,
2013-02-14 03:45:31,"205" <205>,205,s,from-sip-external,SIP/[Внешний IP]-00000010,,Wait,2,1,1,ANSWERED,3,,1360799131.16,
2013-02-14 01:33:14,"2201" <2201>,2201,s,from-sip-external,SIP/[Внешний IP]-0000000c,,Answer,,0,0,ANSWERED,3,,1360791194.12,
2013-02-13 22:50:12,"1001" <1001>,1001,s,from-sip-external,SIP/[Внешний IP]-0000000b,,Answer,,0,0,ANSWERED,3,,1360781412.11,
2013-02-13 22:43:53,"201" <201>,201,s,from-sip-external,SIP/[Внешний IP]-00000009,,Answer,,0,0,ANSWERED,3,,1360781033.9,
2013-02-13 21:56:39,"1000" <1000>,1000,s,from-sip-external,SIP/[Внешний IP]-00000006,,Wait,2,1,1,ANSWERED,3,,1360778199.6,

Очень странно: 1. Номера которые указанны в clid не сущетсвуют в sip.conf 2. Звонок как-бы идет через внешний IP адрес и через контекст from-sip-external.

Я испугался, подумал ну все мандец взломали. НО....

Иду в смотреть логи астериска full. 1. Там нет звонков вообще по такой схеме которая указана в CDR. Зато в тоже время вот что было в логе full:

[2013-02-14 00:39:46] NOTICE[3877] chan_sip.c: Failed to authenticate device 103<sip:103@[Внешний IP]>;tag=27027fcd
[2013-02-14 00:39:47] NOTICE[3877] chan_sip.c: Failed to authenticate device 103<sip:103@[Внешний IP]>;tag=3dbe80f4
[2013-02-14 09:25:31] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=0f444c7e
[2013-02-14 09:25:32] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=56e74633
[2013-02-14 09:25:32] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=4b3376f5
[2013-02-14 09:25:33] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=927edcce
[2013-02-14 09:25:34] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=7b17985f
[2013-02-14 09:25:34] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=b9a90c43
[2013-02-14 09:25:35] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=04daee3a

Тут получается он пытается зарегестрировать сущетвующего пользователя через Внешний IP адрес, но естественно он посылается нах.

Смотрю логи secure, переборов паролей небыло и из лога не удалялись данные так как в этот момент там былb сообщениb что crond авторизовывался и делал бэкапы.

Анонимнные звонки в системе запрещены. Доступа из интернета к серверу нет. Выходит что попытки взлома идут из локальной сети. У клиентов софтфоны, и теоретически троян или вирус могли подхватить настройки софтона и тытаются долбиться на астериск.

Я сейчас конечно замусь локальной сетью, но я первый раз с таким сталкиваюсь. Сейчас еще буду закрыть доступ к WEB морде в локальной сети всем кроме кого нибудь одного и пароль в htaccess поставлю на директорию.

Подскажиет реально ли атака из локальной сети, т.к. раньше только сталкивался с атаками из интернета.


Поправил chansip.c, теперь будет выводить IP адрес злоумышленика, если клму интересен мой файл можете качнуть unix-sar.ru/share/chansip.c


Победил! Атак больше нет.

удалить закрыть спам изменить тег редактировать

спросил 2013-02-14 11:24:30 +0400

romariosar Gravatar romariosar flag of Russian Federation
588 93 11 44
http://www.webunix.ru/

обновил 2013-02-18 12:15:52 +0400

Comments

вот только недавно был похожий случай, все как вы описываете, только моих клиентов все таки взломали, правда провайдер оказался очень хорошим и почти сразу заблочил исходящие, ущерб был не большой. В конце концов выяснилось - порты таки были проброшены. Проверьте еще раз этот момент, если астер пишет в логах внешний адрес, значит что то у вас не ладно с пробросами портов.

Злобный Мыш ( 2013-02-14 11:33:07 +0400 )редактировать

У него просто включен allowquest вот и все дела.

zzuz ( 2013-02-14 12:30:14 +0400 )редактировать

Выключу сегодня его allowguest=no. перенастроил маршрутизатор, еще раз проверил наличие прокинутых портов. Попросил всех в локалке запустить ручную проверку на вирусы. На 2-х машинах был "зверинец" - почистили. Посмотрю что завтра будет.

romariosar ( 2013-02-14 14:54:18 +0400 )редактировать

В общем пляски продолжаются кто всетаки долбится на астериск. В логе Full появляются строки: chan_sip.c: Sending fake auth rejection for device 1080<sip:1080@[Внешний IP]>;tag=71b060d8 iptablesом закрыл все сети кроме локалки и IP провайдера. allowguest=no и alwaysauthreject = yes стоят. permit для каждого пользователя прописан. Как узнать с какого IP адреса идет долбежка?

romariosar ( 2013-02-15 13:28:02 +0400 )редактировать

c allowguest=no нет возможности послать неавторизированный инвайт.

zzuz ( 2013-02-15 15:55:04 +0400 )редактировать
asterisk -rx 'sip show settings' | grep 'Allow unknown access'
zzuz ( 2013-02-15 15:56:57 +0400 )редактировать

Allow unknown access стоит no, сейчас правлю chan_sip.c чтобы выводил IP адрес атакующего.

romariosar ( 2013-02-15 16:00:56 +0400 )редактировать

Поправил chansip.c, теперь будет выводить IP адрес злоумышленика, если клму интересен мой файл можете качнуть unix-sar.ru/share/chansip.c

romariosar ( 2013-02-15 16:30:56 +0400 )редактировать

Эти полстроки мы и так давно уже знаем . А вот выкладывая лишний раз файл Вы обрекаете нас на очередные жалобы тех , кто скачает его и попытается скомпиллировать на другую версию астериска , хотя в теме вопроса эта версия указана.

zzuz ( 2013-02-15 16:59:21 +0400 )редактировать

1 Ответ

0

можете перставлять астриск. астриски ВСЕ до 1.8.19.1 можно положить удаленно.

http://seclists.org/fulldisclosure/2013/Jan/11 http://seclists.org/fulldisclosure/2013/Jan/10

ссылка удалить спам редактировать

ответил 2013-02-14 12:46:00 +0400

meral Gravatar meral flag of Ukraine
23347 24 20 177
http://pro-sip.net/

Comments

я тоже много историй про бабаек знаю , но

                          Affected Versions
           Product               Release Series    
     Asterisk Open Source             1.8.x        All Versions           
     Asterisk Open Source             10.x         All Versions           
     Asterisk Open Source             11.x         All Versions           
      Certified Asterisk             1.8.11        All Versions           
    Asterisk Digiumphones       10.x-digiumphones  All Versions  

                       Corrected In
             Product                              Release                 
      Asterisk Open Source               1.8.19.1, 10.11.1, 11.1.1        
       Certified Asterisk                      1.8.11-cert10              
      Asterisk Digiumphones                10.11.1-digiumphones
zzuz ( 2013-02-14 12:52:35 +0400 )редактировать

ну и,что не так? прочитал в чем дело? так заюзается структура кеша которая внедрена до 1.8.10 вроде.во все версии. видишь там 1.8.х affected. если ты о том,что там не написано 1.6.х ну так они уже eol c апреля прошлого года.

meral ( 2013-02-14 13:17:38 +0400 )редактировать

да. судя по всему 1.8.20 тоже affected, также как и 1.10.* . Да и то уязвимости еще нужно использовать уметь. В одном случае это касается только модуля xmmp . В другом анонимных звонков, которые люди в здравом уме не разрешают.

zzuz ( 2013-02-14 13:23:51 +0400 )редактировать

ну я знаю пяток провайдеров с которыми приходится разрешать. судя по всему я не в здравом уме.

meral ( 2013-02-14 13:48:10 +0400 )редактировать

permit , deny , iptables , fail2ban. Не эти ли вещи Вы рекомендуете на форумах?

zzuz ( 2013-02-14 13:56:47 +0400 )редактировать

пересобрать астериск всегда можно, вопрос поможет ли.

romariosar ( 2013-02-14 14:58:33 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2013-02-14 11:24:30 +0400

Просмотрен: 5,409 раз

Обновлен: Feb 18 '13

Похожие вопросы:

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.