Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Помогите найти следы взлома

0

Здравствуйте, уважаемые форумчане.

Помогите разобраться в следующей проблеме.

Начало ситуации стандартное: провайдер sip-телефонии выкатил счёт за международные звонки.

Стали разбираться, в нашем Asterisk по acdr нет звонков на указанные в их детализации направления. Пытаемся для эксперимента позвонить на какой-нибудь зарубежный номер - в ответ заглушка провайдера "на этой линии данной услугой воспользоваться невозможно", то есть, как я понял, у нас опция зарезана со стороны провайдера.

Доступ извне на Asterisk зарезан на пограничном маршрутизаторе. На самом Asterisk iptables и fail2ban настроены. Логи ssh, asterisk в норме. В настройках alwaysauthreject, deny=0.0.0.0/0.0.0.0, permit=наши сетки и т.п.

Ещё часто наш zabbix рапортовал о том, что транки до этого провайдера падали (unreachable) по несколько раз в день на 3-5 минут. Текущая моя теория такая: взломали провайдера и пользовали наши транки, в это время как раз отваливались эти номера у нас. Запросил более точную детализацию для подтверждения этой теории.

Подскажите, куда ещё смотреть? Как доказать провайдеру свою правоту?

удалить закрыть спам изменить тег редактировать

спросил 2016-12-02 21:59:06 +0400

inspite Gravatar inspite
1 1

3 Ответа

1

Если у вас система с веб интерфейсом, типа FreePBX, то обязательно проверьте логи веб сервера, так как по моему опыту больше ломают веб интерфейс, если его случайно вывесили на улицу и через него получают доступ к остальной функциональности.

Для поддтверждения вашей теории - попросите провайдера сверить с каких IP адресов шли вызовы по этим направлениям. Если адреса отличаются от вашего IP адреса, то уже косвенное доказательство есть. Даже если у вас не постянный внешний IP адрес, то он всё равно будет из пула адресов вашего провайдера и вряд ли злоумышленники тоже сидят через ваш провайдер. Скорее всего их адреса будут из другой страны.

ссылка удалить спам редактировать

ответил 2016-12-02 22:55:47 +0400

homer Gravatar homer flag of Russian Federation
11 1
http://arttel.ru/

Comments

Соглашусь с выводами предыдущих.

  1. Сравните CDR ваши и провайдера, хотя бы запросите CDR по звонкам от провайдера, если их нет, то подозрительно.

  2. Проверяйте Web (при старых версиях FreePBX - могли воспользоваться старыми уязвимостями, при новых - подобрать пароль).

  3. Проверяйте логи ssh, кто-когда-куда.

  4. Проверьте свою почту (вдруг вам провайдер пересылал ваши логины-пароли открытым текстом), могли подсмотреть в вашей почте.

clev ( 2016-12-26 00:48:40 +0400 )редактировать

Запросить CDR провайдера с указанием IP клиента по каждому звонку. Также проверить выданный пароль на сложность на каком-либо сервисе.

Zavr2008 ( 2016-12-29 01:39:25 +0400 )редактировать
0

Можно сказать, что "взломали провайдера" это ОЧЕНЬ МАЛОВЕРОЯТНО.

Учитывая отсутсвие "правильных" терминов в вашем вопросе, можно предположить, что специалиста по безопасности у вас нет вообще.

Для начала сравните свои CDR и провайдера. Дальше разбирайтесь с провайдером по поводу разницы(если она есть).

ссылка удалить спам редактировать

ответил 2016-12-03 14:03:18 +0400

meral Gravatar meral flag of Ukraine
23347 24 20 177
http://pro-sip.net/
0

Скорее всего каким-то макаром хакнули вашу АТС (например FreePBX) срисовав оттуда ваши регистрационные данные для оператора.

Зарегистрировались под вашими параметрами и слили трафик.

Вангую что у вашего оператора для вашей регистрации нет ограничения с какого IP-адреса вы можете работать.

Т.е. в этом случае вы в CDR у себя ничего и не найдете - звонки напрямую а не через вас шли. Как правильно посоветовали - смотреть надо в /var/log/ файлики access/error.log Если сразу как поломали звонить начали - найдете там что-то. Если подломили давно - то скорее всего уже логи не сохранились.

ссылка удалить спам редактировать

ответил 2016-12-28 13:09:27 +0400

SolarW Gravatar SolarW
356 2 10

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2016-12-02 21:59:06 +0400

Просмотрен: 1,238 раз

Обновлен: Dec 28 '16

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.