Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Самостоятельно меняется админский пароль

0

Здравствуйте. Изучая логи заметил периодическое изменение конфигурации. Особое волнение вызывает смена админского пароля. Только за сегодня пароль поменялся 3 раза. Также наблюдаются попытки позвонит за границу на номер 3820..., хотя фактически ни кто из сотрудников не звонил.
Доступ из вне к астериску закрыт (открыты только порты 5060 и 10000:20000 для IP провайдера), открыт доступ к локальной сети организации. Звонки с софтфонов исключены. Стоят обычные телефоны и шлюзы серии SL-VOIP300. Только 2 дня назад поменял админский пароль, который явно за это время подобрать было бы не возможно. Кто знает, как это лечить?

Фото 1 Фото 2

удалить закрыть спам изменить тег редактировать

спросил 2015-02-17 04:31:18 +0400

Alexsis f Gravatar Alexsis f
1 1 1

обновил 2015-02-17 21:10:05 +0400

Zavr2008 Gravatar Zavr2008 flag of Russian Federation
2686 11 9 37
http://mh.otx.ru/

Comments

вот все, что выводит CDR: 2015-02-16 08:10:26 1424059826.242 SIP 425 Dial 3820198616869637 SIP ANSWERED 00:04

Alexsis f ( 2015-02-17 19:11:33 +0400 )редактировать

ну так в логе астера и смотреть что это за пир такой 425 и откуда кто и как регистрировался

Zavr2008 ( 2015-02-17 20:59:15 +0400 )редактировать

точнее кому там из сотрудников приспичило звякнуть в Черногорию))))))

Zavr2008 ( 2015-02-17 21:00:42 +0400 )редактировать

Пир 425 принадлежит одной из сотрудниц. Но я уверен, что она не звонила на 3820. Такое ощущение, что на самом астериске стоит какой-то скрипт и звонит. Вот только выявить я его не могу. В логах все выгладит так, как обычный вызов через VOIP шлюз. А на город она действительно звонила, о чем естественно мне сказала.

Alexsis f ( 2015-02-18 01:07:09 +0400 )редактировать

Я вычитал, что существует четыре основных способа совершить исходящий вызов в Asterisk:

1.С использованием .call файлов. Это текстовые файлы, которые при помещении их в определенную директорию заставляют Asterisk совершить исходящий вызов. 2. Использую Интерфейс управления сервером Asterisk для инициации исходящего вызоваl. 3. С использованием CLI интерфейса. 4. При помощи команды плана набора FollowMe?. Так как при помощи этой команды можно совершать несколько вызовов одновременно, ее можно задействовать “не по назначению” для совершения исходящих вызовов. Завтра проведу проверку на наличие call-файлов. А вот как отучить астериск пользоваться остальными возможностями, пока не знаю.

Alexsis f ( 2015-02-18 01:39:41 +0400 )редактировать

а проще позвонить с зареганного пира 425. Перечитайте мой ответ до просветления..

Zavr2008 ( 2015-02-18 15:04:28 +0400 )редактировать

При отключении AMI в manager.conf (enable = no) asterisk начинает вести себя как-то странно: в freepbx status server ERROR, перестает регистрировать SIP пиров, не отвечает на команды CLI. Кстати говоря, пароль менялся как раз в файле manager.conf

Alexsis f ( 2015-02-18 19:00:33 +0400 )редактировать

так фрюха и рулит астером по AMI))) ппц полный, ТС - не мешай спирты разных сортов будет потом бобо))))))))))))

Zavr2008 ( 2015-02-19 13:51:22 +0400 )редактировать

я 5 лет ковырял ноутбуки и компы, а теперь мне сказали ковырять астериска. Так что у меня каждый день теперь бобо ))

Alexsis f ( 2015-02-19 17:07:52 +0400 )редактировать

2 Ответа

2

О! Еще одна жертва криворукости и поклонег "искаропки" :)
Лечится это обычно ведром вазилина и коленно-локтевой приклоненной стойкой на ковре у начальства :)) Шутка.
Судя по тому, что у тебя в логах - скорей всего имеют во все дыхательные и пихательные твой искаробочный ФриПБХ.
1. Проверяй доступы на фаерволе
2. Закрой доступ к ФриПБХ из вне или вообще сервис Апача положи и поднимай когда нужен ручками
3. Навали fail2ban на AMI и веб.

ссылка удалить спам редактировать

ответил 2015-02-17 11:13:16 +0400

CheeZ Gravatar CheeZ
1055 6 6 24

обновил 2015-02-17 11:15:23 +0400

1

Также наблюдаются попытки позвонит за границу на номер 3820...

Смотрите CDR - с какого SIP-пира звонили. Также sip show peers покажет и IP шутника. Далее: с помощью iptables закрываем доступ к фрюхо-вэбке кроме IP-админа.

ну и самое важное: ВЫРУБАЕМ МЕЖДУНАРОДНЫЕ ЗВОНКИ, пишем заяву провайдеру на их ОТКЛЮЧЕНИЕ.

ссылка удалить спам редактировать

ответил 2015-02-17 14:18:11 +0400

Zavr2008 Gravatar Zavr2008 flag of Russian Federation
2686 11 9 37
http://mh.otx.ru/

Comments

я бы пока в фирме не трезвонил, поставил бы постоянную запись в pcap порта 5060/udp - далее через несколько деньков бы был компромат на кого-либо из хитрых сотрудничков, чьи родственники отдыхают сейчас в Черногории.

Zavr2008 ( 2015-02-17 21:02:54 +0400 )редактировать

время опять-таки подозрительное: всякие сомали обычно ночью льют, чтоп клиента не спугнуть. а тут 08:10:26 - кто-то с утречка припершись на работу под кофеек решил побаловаться.. Есть логи http сервера кста - можно посмотреть кто там шибко шустрый поутру)))

Zavr2008 ( 2015-02-17 21:05:10 +0400 )редактировать

я за то что - внутренний взлом. Возможно в системе и бэкдоров навешано. Я бы снес всё от греха подальше и на будущее уделял бы больше внимания безопасности, не вывешивая в локалку админку фрихи..

Zavr2008 ( 2015-02-17 21:05:36 +0400 )редактировать

там еще на какой-то 610069 звонили с 425-го (по Вашему топику на другом форуме). Трепались 5 минут. Стоит разобраться кому это звонили)

Zavr2008 ( 2015-02-17 21:13:30 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2015-02-17 04:31:18 +0400

Просмотрен: 145 раз

Обновлен: Feb 17 '15

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.