1 | изначальная версия редактировать | |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
2 | No.2 Revision редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
3 | No.3 Revision редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
4 | No.4 Revision редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро позвони в Украину по-дешевке)))
5 | No.5 Revision редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро позвони "позвони в Украину по-дешевке)))по-дешевке")))
6 | No.6 Revision редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged off from 127.0.0.1
Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:
[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user
7 | No.7 Revision редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged off from 127.0.0.1
Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:
[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user
8 | No.8 Revision редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged off from 127.0.0.1
Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:
[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user
UPD: это не точно не через ами. ФриПБХ его юзал активно просто.
9 | No.9 Revision редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged off from 127.0.0.1
Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:
[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user
UPD: UPD: это не точно не через ами. ФриПБХ его юзал активно просто.
10 | No.10 Revision редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged off from 127.0.0.1
Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:
[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user
UPD: это не точно не через ами. ФриПБХ его юзал активно просто.
Выловил по логам, взломали через веб-морду. У меня стоит htaccess на папку html и стандартный htaccess на папки admin и maint. Так вот где дыра: чтоб зайти в папку maint надо пройти в шага аутентификации, а в папку admin - всего один (тот что maint). В чём глюк?
11 | No.11 Revision редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged off from 127.0.0.1
Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:
[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user
UPD: это не точно не через ами. ФриПБХ его юзал активно просто.
UPD2: Выловил по логам, взломали через веб-морду. У меня стоит htaccess на папку html и стандартный htaccess на папки admin и maint. Так вот где дыра: чтоб зайти в папку maint надо пройти в шага аутентификации, а в папку admin - всего один (тот что maint). В чём глюк?
12 | No.12 Revision редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged off from 127.0.0.1
Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:
[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user
UPD: это не точно не через ами. ФриПБХ его юзал активно просто.
UPD2: Выловил по логам, взломали через веб-морду. У меня стоит htaccess на папку html и стандартный htaccess на папки admin и maint. Так вот где дыра: чтоб зайти в папку maint надо пройти в 2 шага аутентификации, а в папку admin - всего один (тот что maint). В чём глюк?
13 | теги изменены редактировать |
101/s (Unspecified) D N A 0 UNKNOWN
Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.
Вопрос, каким образом взломали и как звонят?
Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,
alwaysauthreject=yes
allowguest=no
Влогах куча галиматьи типа
[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43
А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх
ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c: == Manager 'admin' logged off from 127.0.0.1
Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:
[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user
UPD: это не точно не через ами. ФриПБХ его юзал активно просто.
UPD2: Выловил по логам, взломали через веб-морду. У меня стоит htaccess на папку html и стандартный htaccess на папки admin и maint. Так вот где дыра: чтоб зайти в папку maint надо пройти 2 шага аутентификации, а в папку admin - всего один (тот что maint). В чём глюк?
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.