Опять поломали

Question

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))

[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged off from 127.0.0.1

Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:

[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user

UPD: это не точно не через ами. ФриПБХ его юзал активно просто.

UPD2: Выловил по логам, взломали через веб-морду. У меня стоит htaccess на папку html и стандартный htaccess на папки admin и maint. Так вот где дыра: чтоб зайти в папку maint надо пройти 2 шага аутентификации, а в папку admin - всего один (тот что maint). В чём глюк?

Accepted Answer

1

посмотрите вариант взлома через веб-сервер. у себя смотрю тоже народ старается найти пхпадмин и другие знакомые плюшки на сервере..

ссылка удалить спам редактировать

ответил May 25 '11

svoy
1603 ● 1 ● 4 ● 20
http://svoy.in.ua/

Comments

у меня веб-морда закрыта первым хтаксесом на общее меню и вторым на админку. Тут ОЧЕНЬ сложно. cvieri (May 25 '11)edit

исходя из опыта, многие сложные вещи просто решаются.. svoy (May 25 '11)edit

долой философию))) cvieri (May 25 '11)edit

оказывается не пустая философия? ИмХо но выставлять в открытый инет комбайны типа трикса и эластикса - самоубийство.. проще на виртуалке подымите голый астер, который будет работать в виде SBC для внешних пользователей. 1 сервис и 1-3 порта проще защитить, чем десяток svoy (May 25 '11)edit

Answer 2

2

А может дело в этой уязвимости? http://asteriskblog.ru/2011/05/17/trixbox-ce-ne-zadokumentirovannoe-web-administriro/

Держитесь, TrixBox'еры :-))

ссылка удалить спам редактировать

ответил May 25 '11

litnimax
1453 ● 11 ● 8 ● 29
http://www.pbxware.ru/

Comments

там еше одна есть. навскидку(recordings web конфиг по умолчанию разрешает доступ суперпользователю с админ првавами). вообще трикс веб надо закрывать нафик правилами доступа по адресу. meral (May 25 '11)edit

Answer 3

fail2ban по voip-info.org настроили? он нефига не работает. надо еше правила в iptables добавлять чтоб считали количество именно регистраций с адреса. обращайтесь к проффесионалам.

на вопрос как поламали - просто

шлется регистрация, в регистер обратный адерс ставиться 127.0.0.1. в астриске соотвественно в логах пишет registration failed from xxxx@127.0.0.1.

отсбда fail2ban настроенный по voip-info и другим статьсям того же уровня в интеренете видит адрес 127.0.0.1. этот адрес даже не баниться. ибо он в fail2ban по умолчанию в белый список входит.

а ответ уходит по реально му адресу. тоесть перебор работает. вот так все грустно.

и семизнак реально подобрать? um2010 (May 25 '11)edit
Так я к кому обратился?))) ЗЫ: я апдейтнул топик, глянь плз. cvieri (May 25 '11)edit

Answer 4

0

А чего просто deny= не навесить у пира всем внешним?

ссылка удалить спам редактировать

ответил May 24 '11

Zavr2008

2886 ● 11 ● 9 ● 40
http://mh.otx.ru/

Comments

у нас абоненты по разным точкам, с динамическим ИП и вайфаем, не можем. cvieri (May 24 '11)edit

Тогда может просто стоит регить пиры типа 0101 вместа 101? Обычно сканеры не догоняют=) Ну и фейковые 101, 102 итп без возможности от них звонить. Как идея? :)) Zavr2008 (May 24 '11)edit

современный сканеры тестят все варианты начиная с 0 до 99999 и 000009. как вариант помогает три пира 101 202 303 с паролями равным имени пира, сканер успокаиваетсья, при звонке с этим пиром автоматом генириться письмо провайдеру взломщика о попытке взлома, даеться рингтон вечный. ну и через пару минут баниться адрес. обычно адреса откуда звонят не равны адресам откда ломают. meral (May 24 '11)edit

еще проще: как зарегился на 101 с пассом 101, этот IP просто iptables вырезается и всё! Автоматический перебор, начиная со 101 им играет злую шутку! Zavr2008 (May 25 '11)edit

А вы весельчак =) kasper (May 25 '11)edit

Answer 5

0

так взломали перебором в итоге? ставьте взломоустойчивые пароли тогда.

ссылка удалить спам редактировать

ответил May 25 '11

newborn
1 ● 2 ● 1 ● 1

Comments

пароль 7 знаков! не словарный! cvieri (May 25 '11)edit

Опять поломали

Comments

5 Ответов

Comments

Comments

Comments

Comments

Comments

Ваш ответ

Закладки и информация

Статистика

Похожие вопросы: