не могу найти факт взлома, прошу помощи-совета
ситуация такая
первый удачный звонок взломщиков произошел 12 ноябрь 2015г. 04:56:17 в Латвию
в сам звонок в CDR выглядит так:
| Код: |
| "1009","8103716606045x","internal1",""""" ","SIP/1009-0000000f","SIP/mega-00000010","Dial","SIP/mega/8103716606045x,120,mtTh","2015-11-12 04:56:17","2015-11-12 04:56:17","2015-11-12 04:56:30",12,12,"ANSWERED","DOCUMENTATION","1447293377.23","""", |
при успешном взломе в /var/log/asterisk/security должна появиться строка вроде:
| Код: |
| [Oct 4 15:20:30] SECURITY[10101] res_security_log.c: SecurityEvent="[b]SuccessfulAuth[/b]",EventTV="2015-10-04T15:20:30.664+0300",Severity="Informational",Service="SIP",EventVersion="1",AccountID="1006",SessionID="0x7f42e402ff08",LocalAddress="IPV4/UDP/192.168.3.12/6060",RemoteAddress="IPV4/UDP/IP_ADDRES_Attacker/6060",UsingPassword="1" |
ни 11, ни 12 ноября от номера 1009 успешных авторизаций небыло
| Код: |
| asterisk # grep 1009 security | grep SuccessfulAuth | grep 'Nov 12' (пусто) |
я вижу лишь попытки подбора пароля InvalidPassword, успешных попыток взлома не вижу:
| Код: |
| asterisk # grep 1009 security | grep 'Nov 12' | more [Nov 12 04:53:24] SECURITY[887] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="2015-11-12T04:53:24.746+0300",Severity="Informational",Ser vice="SIP",EventVersion="1",AccountID="1009",SessionID="0x7fb7d8000f48",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/85.114.130.14x/9627",Challenge="6a7fcf86" [Nov 12 04:53:24] SECURITY[887] res_security_log.c: SecurityEvent="[b]InvalidPassword[/b]",EventTV="2015-11-12T04:53:24.815+0300",Severity="Error",Service="SIP",EventVersion="2",AccountID="1009",SessionID="0x7fb7d8000f48",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/85.114.130.14x/9627",Challenge="6a7fcf86",ReceivedChallenge="6a7fcf86",ReceivedHash="139f3eca328eca0d6edfec387da14767" ... |
как я понимаю им как-то в итоге удалось звонить без авторизации, вот безуспешные попытки подбора пароля:
| Код: |
| [Nov 12 04:56:13] SECURITY[887] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="2015-11-12T04:56:13.043+0300",Severity="Informational",Ser vice="SIP",EventVersion="1",AccountID="1009",SessionID="0x7fb7d80109f8",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.x 34/9273",Challenge="1ecd6ad3" [Nov 12 04:56:13] SECURITY[887] res_security_log.c: SecurityEvent="InvalidPassword",EventTV="2015-11-12T04:56:13.200+0300",Severity="Error",Service=" SIP",EventVersion="2",AccountID="1009",SessionID="0x7fb7d80109f8",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.13x/927 3",Challenge="1ecd6ad3",ReceivedChallenge="1ecd6ad3",ReceivedHash="41760266ac5ba7706bf407bc7f029046" |
и почти сразу пошел звонок на Латвию на телефон 3716606045x:
| Код: |
| [Nov 12 04:56:33] SECURITY[887] res_security_log.c: SecurityEvent="SessionLimit",EventTV="2015-11-12T04:56:33.152+0300",Severity="Error",Service="SIP ",EventVersion="1",AccountID="8103716606045x",SessionID="0x7fb7d803d1c8",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51. 13x/9273" [Nov 12 04:56:34] SECURITY[887] res_security_log.c: SecurityEvent="SessionLimit",EventTV="2015-11-12T04:56:34.804+0300",Severity="Error",Service="SIP ",EventVersion="1",AccountID="8103716606045x",SessionID="0x7fb7d803ae78",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51. 13x/9273" [Nov 12 04:56:35] SECURITY[887] res_security_log.c: SecurityEvent="SessionLimit",EventTV="2015-11-12T04:56:35.569+0300",Severity="Error",Service="SIP ",EventVersion="1",AccountID="8103716606045x",SessionID="0x7fb7d803ae78",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51. 13x/9273" |
в тоже время сыпались уведомления о неверном пароле, хотя звонок прошел:
| Код: |
| [Nov 12 04:54:52] NOTICE[870] chan_sip.c: Registration from '' failed for '83.244.51.13x:26558' - Wrong password [Nov 12 04:55:45] NOTICE[870] chan_sip.c: Registration from '' failed for '85.114.130.14x:9627' - Wrong password [Nov 12 04:58:53] NOTICE[870] chan_sip.c: Registration from '' failed for '83.244.51.13x:26558' - Wrong password [Nov 12 05:03:45] NOTICE[870] chan_sip.c: Registration from '' failed for '85.114.130.14x:9627' - Wrong password |
куда копать товарищи?
В смысле что за оборудование на нем и где он стоит.
В моей практике часто бывало что ломали клиентское оборудование стоящее в public сети и звонили уже через него.
_________________
IT Logic, разработка CRM систем, Call центры, сложные VoIP решения, телефонизация под ключ.
регистрация нужна для приема входящих вызовов
_________________
mega-net.ru - IT аутсорсинг
Если нет удаленных сотрудников, проброс 5060 для всего инета не нужен!!!!
и хорошо что еще в Латвию, а не на автоответчик в Солмали или Гондурасе по цене 4$/мин на ночь..
_________________
http://mh.otx.ru SIP/E1 шлюзы Alvis, Добавь E1 к Asterisk, Проапгрейди Заказчику TDA/LDK!
NEW! Снижение цен на 19'' модели!!
пока это выясняю, организация на out-sorsce поддрежке
сломан был номер 1009 с которого звонили, пароль сложный, факта подбдора успешного пароля нет
мне факт взлома найти нужно, или я виноват, или другие люди
Added after 5 minutes:
1. alwaysauthreject=yes -- есть
2. списки deny/permit - это сделали после взлома
3. проброс порта нужен, кидаю на 6060
и хорошо что еще в Латвию, а не на автоответчик в Солмали или Гондурасе по цене 4$/мин на ночь.
--- так и было, только в Палестину, Иран, Ирак
Added after 2 minutes:
сейчас выясняю этот моммент, я обслуживаю этот сервер, остальное делают их ИТ
Added after 14 minutes:
из-вне торчит порт 6060
это есть alwaysauthreject=yes
списки deny/permit --- сделали после взлома
отквывать ружу порт 5060,6060 приходится
еше раз говорю, мне нужен факт взлома, а его я не могу нати
это пока выясняем
Added after 2 minutes:
это все сдплано
| xelas @ Чт Дек 24, 2015 07:27 писал(а): |
| Настройки 1009 пира что ли покажите. |
| Код: |
| [1009] username=1009 secret=Jermo81pC - пароль уже поменял type=friend host=dynamic context=internal1 insecure=port,invite qualify=yes directmedia=no call-limit=2 |
пока еще не выяснил, что за оборудование стоит за [1009]
| Код: |
| User-Agent: Linksys/PAP2T-3.1.15(LS) |
_________________
mega-net.ru - IT аутсорсинг
| Цитата: |
| в тоже время сыпались уведомления о неверном пароле, хотя звонок прошел: |
| Цитата: |
| insecure=port,invite |
Вот этого явно не стоило делать при host=dynamic..
В этом режиме пароль не используется..
Вот и причина взлома.
Все усекли и отметили? - для экстенов внутренних с host=dynamic НИКОГДА НЕ ПИШЕМ insecure=port,invite!!!!
Для последователей, зашедших на огонек гугла думаю будет полезно, для ТС - увы, уже поздно. Это просто нужно пережить, трудности - закаляют..
тут думаю большинство завсегдатаев когда-то ломали, Ваш покорный слуга - не исключение. Просто потом более трепетно начинаешь относиться к безопасности и не забываешь прописывать всё путем..
_________________
http://mh.otx.ru SIP/E1 шлюзы Alvis, Добавь E1 к Asterisk, Проапгрейди Заказчику TDA/LDK!
NEW! Снижение цен на 19'' модели!!