Помогите найти следы взлома

Здравствуйте, уважаемые форумчане.

Помогите разобраться в следующей проблеме.

Начало ситуации стандартное: провайдер sip-телефонии выкатил счёт за международные звонки.

Стали разбираться, в нашем Asterisk по acdr нет звонков на указанные в их детализации направления. Пытаемся для эксперимента позвонить на какой-нибудь зарубежный номер - в ответ заглушка провайдера "на этой линии данной услугой воспользоваться невозможно", то есть, как я понял, у нас опция зарезана со стороны провайдера.

Доступ извне на Asterisk зарезан на пограничном маршрутизаторе. На самом Asterisk iptables и fail2ban настроены. Логи ssh, asterisk в норме. В настройках alwaysauthreject, deny=0.0.0.0/0.0.0.0, permit=наши сетки и т.п.

Ещё часто наш zabbix рапортовал о том, что транки до этого провайдера падали (unreachable) по несколько раз в день на 3-5 минут. Текущая моя теория такая: взломали провайдера и пользовали наши транки, в это время как раз отваливались эти номера у нас. Запросил более точную детализацию для подтверждения этой теории.

Подскажите, куда ещё смотреть? Как доказать провайдеру свою правоту?

удалить закрыть спам изменить тег редактировать

спросил 2016-12-02 21:59:06 +0400

inspite
1 ● 1

Если у вас система с веб интерфейсом, типа FreePBX, то обязательно проверьте логи веб сервера, так как по моему опыту больше ломают веб интерфейс, если его случайно вывесили на улицу и через него получают доступ к остальной функциональности.

Для поддтверждения вашей теории - попросите провайдера сверить с каких IP адресов шли вызовы по этим направлениям. Если адреса отличаются от вашего IP адреса, то уже косвенное доказательство есть. Даже если у вас не постянный внешний IP адрес, то он всё равно будет из пула адресов вашего провайдера и вряд ли злоумышленники тоже сидят через ваш провайдер. Скорее всего их адреса будут из другой страны.

ссылка удалить спам редактировать

ответил 2016-12-02 22:55:47 +0400

homer

11 ● 1
http://arttel.ru/

Comments

Соглашусь с выводами предыдущих.

Сравните CDR ваши и провайдера, хотя бы запросите CDR по звонкам от провайдера, если их нет, то подозрительно.
Проверяйте Web (при старых версиях FreePBX - могли воспользоваться старыми уязвимостями, при новых - подобрать пароль).
Проверяйте логи ssh, кто-когда-куда.
Проверьте свою почту (вдруг вам провайдер пересылал ваши логины-пароли открытым текстом), могли подсмотреть в вашей почте.

clev ( 2016-12-26 00:48:40 +0400 )редактировать

Запросить CDR провайдера с указанием IP клиента по каждому звонку. Также проверить выданный пароль на сложность на каком-либо сервисе.

Zavr2008 ( 2016-12-29 01:39:25 +0400 )редактировать

Скорее всего каким-то макаром хакнули вашу АТС (например FreePBX) срисовав оттуда ваши регистрационные данные для оператора.

Зарегистрировались под вашими параметрами и слили трафик.

Вангую что у вашего оператора для вашей регистрации нет ограничения с какого IP-адреса вы можете работать.

Т.е. в этом случае вы в CDR у себя ничего и не найдете - звонки напрямую а не через вас шли. Как правильно посоветовали - смотреть надо в /var/log/ файлики access/error.log Если сразу как поломали звонить начали - найдете там что-то. Если подломили давно - то скорее всего уже логи не сохранились.

ссылка удалить спам редактировать

ответил 2016-12-28 13:09:27 +0400