Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Опять поломали

0
101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))

[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged off from 127.0.0.1

Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:

[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user

UPD: это не точно не через ами. ФриПБХ его юзал активно просто.


UPD2: Выловил по логам, взломали через веб-морду. У меня стоит htaccess на папку html и стандартный htaccess на папки admin и maint. Так вот где дыра: чтоб зайти в папку maint надо пройти 2 шага аутентификации, а в папку admin - всего один (тот что maint). В чём глюк?

удалить закрыть спам изменить тег редактировать

спросил 2011-05-24 20:47:54 +0400

cvieri Gravatar cvieri
673 12 5 21
http://www.qcall.com.ua/

обновил 2011-05-26 09:38:41 +0400

svoy Gravatar svoy
1603 1 4 20
http://svoy.in.ua/

Comments

не понял, а фейлтубан не работал что-ли? почему пропускает столько записей от одного ip. Да и кажется мне, что не подобрали пароль, а другой дыркой какой-то воспользовались um2010 ( 2011-05-24 23:11:57 +0400 )редактировать
Да мне тоже так кажеться, а ИП, которую я прикрыл - ИП моего сервера! cvieri ( 2011-05-25 11:16:35 +0400 )редактировать
Так в итоге есть где то доказательство того что злоумышленникам известен пароль этого 101, они вообще авторизацию проходят? То что вы предоставили это просто попытки подбора пароля. А то может где нить из-за неправильных настроек например через дису как нить пробираются. Насчёт вашего предположения AMI это маловероятно у меня тоже всё засрано такими логами это freepbx коннектится. Вобщем я бы включил verbose и sip debug, собирал бы гигабайты логов с надеждой на появление этих левых звонков, а после grep. Покрайней мере если не смогли изменить ничего на сервере можно будет выяснить каким образом они через вас звонят kasper ( 2011-05-25 14:33:25 +0400 )редактировать
та вот сижу жду, вернул пас обратно, буду ловить cvieri ( 2011-05-25 14:58:46 +0400 )редактировать
Давай для начала вернёмся к словам "взломали через веб-морду" с чего ты так решил? В логах написано что успешно отдана страница по запросу с левого ип? у тебя пароль случайно не стандартный? kasper ( 2011-05-25 16:48:30 +0400 )редактировать
в логах апача, вход с левого ИП успешный... нет, маинт сменил, но он 6-значный, да и не словарный тоже. cvieri ( 2011-05-25 17:10:31 +0400 )редактировать
попыток подбора поролей вполне достаточно для дела ов мешателстве в работу сетей... семизнак врдялидли подберут. но шанк вообще говоря больше чем 4-знак с буквами. meral ( 2011-05-25 22:34:53 +0400 )редактировать
поставте авторизацию=db в вебе. meral ( 2011-05-25 22:36:19 +0400 )редактировать

5 Ответов

1

посмотрите вариант взлома через веб-сервер. у себя смотрю тоже народ старается найти пхпадмин и другие знакомые плюшки на сервере..

ссылка удалить спам редактировать

ответил 2011-05-25 12:34:01 +0400

svoy Gravatar svoy
1603 1 4 20
http://svoy.in.ua/

Comments

у меня веб-морда закрыта первым хтаксесом на общее меню и вторым на админку. Тут ОЧЕНЬ сложно. cvieri ( 2011-05-25 12:36:49 +0400 )редактировать
исходя из опыта, многие сложные вещи просто решаются.. svoy ( 2011-05-25 14:01:59 +0400 )редактировать
долой философию))) cvieri ( 2011-05-25 14:14:24 +0400 )редактировать
оказывается не пустая философия? ИмХо но выставлять в открытый инет комбайны типа трикса и эластикса - самоубийство.. проще на виртуалке подымите голый астер, который будет работать в виде SBC для внешних пользователей. 1 сервис и 1-3 порта проще защитить, чем десяток svoy ( 2011-05-25 17:59:04 +0400 )редактировать
2

А может дело в этой уязвимости? http://asteriskblog.ru/2011/05/17/trixbox-ce-ne-zadokumentirovannoe-web-administriro/

Держитесь, TrixBox'еры :-))

ссылка удалить спам редактировать

ответил 2011-05-25 16:53:52 +0400

litnimax Gravatar litnimax
1453 11 8 29
http://www.pbxware.ru/

Comments

там еше одна есть. навскидку(recordings web конфиг по умолчанию разрешает доступ суперпользователю с админ првавами). вообще трикс веб надо закрывать нафик правилами доступа по адресу. meral ( 2011-05-25 22:38:02 +0400 )редактировать
1

fail2ban по voip-info.org настроили? он нефига не работает. надо еше правила в iptables добавлять чтоб считали количество именно регистраций с адреса. обращайтесь к проффесионалам.

на вопрос как поламали - просто

шлется регистрация, в регистер обратный адерс ставиться 127.0.0.1. в астриске соотвественно в логах пишет registration failed from xxxx@127.0.0.1.

отсбда fail2ban настроенный по voip-info и другим статьсям того же уровня в интеренете видит адрес 127.0.0.1. этот адрес даже не баниться. ибо он в fail2ban по умолчанию в белый список входит.

а ответ уходит по реально му адресу. тоесть перебор работает. вот так все грустно.

ссылка удалить спам редактировать

ответил 2011-05-25 01:08:15 +0400

meral Gravatar meral flag of Ukraine
23347 24 20 177
http://pro-sip.net/

Comments

и семизнак реально подобрать? um2010 ( 2011-05-25 07:05:33 +0400 )редактировать
Так я к кому обратился?))) ЗЫ: я апдейтнул топик, глянь плз. cvieri ( 2011-05-25 12:01:31 +0400 )редактировать
0

А чего просто deny= не навесить у пира всем внешним?

ссылка удалить спам редактировать

ответил 2011-05-24 21:06:18 +0400

Zavr2008 Gravatar Zavr2008 flag of Russian Federation
2886 11 9 40
http://mh.otx.ru/

Comments

у нас абоненты по разным точкам, с динамическим ИП и вайфаем, не можем. cvieri ( 2011-05-24 21:15:07 +0400 )редактировать
Тогда может просто стоит регить пиры типа 0101 вместа 101? Обычно сканеры не догоняют=) Ну и фейковые 101, 102 итп без возможности от них звонить. Как идея? :)) Zavr2008 ( 2011-05-24 21:57:22 +0400 )редактировать
современный сканеры тестят все варианты начиная с 0 до 99999 и 000009. как вариант помогает три пира 101 202 303 с паролями равным имени пира, сканер успокаиваетсья, при звонке с этим пиром автоматом генириться письмо провайдеру взломщика о попытке взлома, даеться рингтон вечный. ну и через пару минут баниться адрес. обычно адреса откуда звонят не равны адресам откда ломают. meral ( 2011-05-25 01:09:08 +0400 )редактировать
еще проще: как зарегился на 101 с пассом 101, этот IP просто iptables вырезается и всё! Автоматический перебор, начиная со 101 им играет злую шутку! Zavr2008 ( 2011-05-25 10:49:48 +0400 )редактировать
А вы весельчак =) kasper ( 2011-05-25 14:44:07 +0400 )редактировать
0

так взломали перебором в итоге? ставьте взломоустойчивые пароли тогда.

ссылка удалить спам редактировать

ответил 2011-05-25 13:28:54 +0400

newborn Gravatar newborn
1 2 1 1

Comments

пароль 7 знаков! не словарный! cvieri ( 2011-05-25 13:36:20 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2011-05-24 20:47:54 +0400

Просмотрен: 3,230 раз

Обновлен: May 25 '11

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.