我的elastix 被盜打了~我該怎麼做?

[Michael Liu]

目前我是用 elastix 2.3  + ATA-171M  架構, 但被盜打了,我要如何搜證呢?

[Michael Liu]

目前我以把 ata 的設備關掉了, elastix  也換密碼了. 不知能否從 log看出一些訊息?

Michael Liu於 2013年2月19日星期二UTC+8上午9時44分59秒寫道：

[A-Lang, Hsu - Asterisk/Linux/IT Consultant]

- 檢查 CDR 與 CLI log 有無異常紀錄
- 安裝 fail2ban 軟體
- 封鎖所有非 SIP 以外的外部通訊埠
- 全面更換所有 SIP 密碼，以及所有你知道的各種系統密碼

2013/2/19 Michael Liu <michl...@gmail.com>

目前我以把 ata 的設備關掉了, elastix  也換密碼了. 不知能否從 log看出一些訊息?

Michael Liu於 2013年2月19日星期二UTC+8上午9時44分59秒寫道：

目前我是用 elastix 2.3  + ATA-171M  架構, 但被盜打了,我要如何搜證呢?

--
您已訂閱「Google 網上論壇」的「Taiwan Asterisk Users' Group - www.osslab.com.tw」群組，因此我們特別傳送這封郵件通知您。
如要取消訂閱這個群組並停止接收來自這個群組的郵件，請傳送電子郵件到 asterisk-tw...@googlegroups.com。
如要在此群組張貼留言，請傳送電子郵件至 aster...@googlegroups.com。
請前往以下網址造訪這個群組：http://groups.google.com/group/asterisk-tw?hl=zh-TW。
如需更多選項，請前往：https://groups.google.com/groups/opt_out。
 
 

[Michael Liu]

從 log 上有看到一些異常的記錄,也有撥出記錄,唉, 被盜打了五千多元 ...@@ 這個盜打費用變成要我自己吸收嗎?我想報警~~ , 

A.Lang(WebAdmin)於 2013年2月19日星期二UTC+8上午10時00分34秒寫道：

[A-Lang, Hsu - Asterisk/Linux/IT Consultant]

Wow 災情不輕，不知你的 Elastix 主機對外開放了哪些通訊埠? 被盜打的時間有多久? 即刻保留系統被侵入期間的完整 CLI log，這 log 或許不能幫你討回正義，不過可以作為爾後系統安全的參照範本，還有嘗試分析它找出被侵入的管道。

據我的經驗，學習 Asterisk 至今已有 5 年以上時間，期間所管理的主機也歷經了兩次盜打情事，每一次的盜打發生後，就會使我的系統更加安全，最近幾年主機還不曾發生有第三次。

這些惡意的攻擊者 IP 幾乎來自於國外，我也不清楚這樣報警是否有用

2013/2/19 Michael Liu <michl...@gmail.com>

[Michael Liu]

[Feb 16 19:16:25] VERBOSE[10358] app_dial.c:     -- Called SIP/6548/00234640013652 可以看出撥出的號碼,要如何看 ip部份呢?

A.Lang(WebAdmin)於 2013年2月19日星期二UTC+8上午10時32分47秒寫道：

[Lister Lin]

我也有過這樣子的經驗, 被盜用打了兩次, 一次是經過路由讓他們撥成功但兩三天後路由商馬上鎖, 所以只有500多USD損失, 但第二次是因為PRI有帶LOCAL PHONE OUTBOUND, 我用不到Local OUTBound Call也就忘了請電信商幫我鎖掉長途撥號, 當收到長途電話的帳單都已經是2個月後的事情... 超慘的那次, 大約損失了8000多USD. 慘痛的經驗, 報警沒有用, 他們的IP都是偽裝的, 找不到人.

 

那些攻擊者都是Search PORT來破解並專門打高費率的國家的幾隻電話, 利用這樣子的方式可以抽傭謀利, 所以如果能夠修改Port也可能增加防護值, 一定要多爬安全防護的文章把防護系統做好,

[Michael Liu]

唉,沒想到會發生這樣的情況 , 真想罵三字經了, 馬上看了一些相關 Log , 盜打者好像是用分機一個個測試,最後被他找到一組密碼很簡單的分機! 快氣死了......

但我比較納悶的是他是如何知道我 outbound 的規則呢? 

看來我也只能繳這個五千多元的帳單了........ 這個代價可真是不小呢...@@ 

Michael Liu於 2013年2月19日星期二UTC+8上午9時44分59秒寫道：

[Lister Lin]

我看LOG是, 什麼規則他們都會試一遍, 反正有中就狂撥, 沒中就繼續試別的主機.

分機可以設定額度不是嗎? 還有把高費率的國家鎖住吧, 比如說海地或是中東的國家, 衛星電話...等... 你去看費率就貴的就鎖掉吧

--

[A-Lang, Hsu - Asterisk/Linux/IT Consultant]

之前被盜打後，就去研究了攻擊者的行為模式，原來只要會用系統指令，就能輕鬆侵入一個沒有防護的主機。

如果你檢視 log 發現在數秒鐘內，同時間有數個以上的連線，不管是猜密碼、猜撥號規則，這些都是軟體自動作的，反之，如果是人工連線就能猜出需要的資訊，只能怪自己太疏於管理了。

而哪些可以透過軟體來完成呢?

找出 SIP port

找出是否為 Asterisk 系統
找出有哪些 SIP 分機

暴力猜出 SIP 密碼
找出撥號規則 ---- 這對於沒有刻意做防護的主機來說，真的一點都不難，原理很簡單，你會想到的，攻擊者也會想到

以上只有純粹的 SIP 攻擊，別忘了還有更難防的 Web 攻擊，一旦 Web 被侵入，SIP 怎樣防護都沒用，而 Web 如何防? 我的建議是: Web 防不勝防，如果你有注意幾個專門發佈各系統漏洞的網站，你會驚訝怎麼每天都有新的漏洞，而幾乎每一個漏洞都能成功侵入系統

2013/2/19 Lister Lin <chu...@gmail.com>

[Dennis Wu]

我的朋友和客戶也試過系統被入侵。國際電話的損失由數千元港幣至六七十萬港幣不
等。相當慘重！



我發現攻擊方式除了猜測SIP 密碼外，大部份是首先經過 Web 嘗試拿到系統控制權。
如果知道系統是跑 Elastix ，他們會嘗試用 Elastix 相關的漏洞來入侵。我看過較複
雜的攻擊方式是入侵者會用 PHP 的漏洞，種一個小型的 perl script 入系統，然後他
們會經這 perl script 生成其他的 perl script ，利用種下的小型的 perl script來
跑自行生成的 script 來嘗試拿到Linux 的控制權和猜或找 FreePBX 的密碼。當時
Elastix的版本是 1.6。



防止猜測SIP密碼較簡單。可以嘗試用 Fail2Ban 來把關。



Web 的防止方法較複雜。我現在用的方法是：Web 必須跑 https，自己用 openssl當一
個 CA。Elastix 的 apache 要安裝數碼證書，客戶如要用 Elastix 的 Web 介面便需
要在 web browser 安裝我們發出的數碼證書。最低限度我們可以保證用 Web 介面的會
是相熟客戶。

From: aster...@googlegroups.com [mailto:aster...@googlegroups.com] On

Behalf Of A-Lang, Hsu - Asterisk/Linux/IT Consultant
Sent: Tuesday, February 19, 2013 11:40 AM
To: Asterisk/Elastix User Group in Taiwan - OSSLab.org.tw
Subject: Re: 我的elastix 被盜打了~我該怎麼做?

之前被盜打後，就去研究了攻擊者的行為模式，原來只要會用系統指令，就能輕鬆侵入
一個沒有防護的主機。

www.osslab.com.tw <http://www.osslab.com.tw」群組，因此我們特別傳送這封郵件
通知您。> 」群組，因此我們特別傳送這封郵件通知您。
如要取消訂閱這個群組並停止接收來自這個群組的郵件，請傳送電子郵件到
asterisk-tw...@googlegroups.com
<mailto:asterisk-tw...@googlegroups.com。> 。
如要在此群組張貼留言，請傳送電子郵件至 aster...@googlegroups.com <mailto:
aster...@googlegroups.com。> 。
請前往以下網址造訪這個群組：
http://groups.google.com/group/asterisk-tw?hl=zh-TW

<http://groups.google.com/group/asterisk-tw?hl=zh-TW。> 。
如需更多選項，請前往：https://groups.google.com/groups/opt_out
<https://groups.google.com/groups/opt_out。> 。



--
您已訂閱「Google 網上論壇」的「Taiwan Asterisk Users' Group -
www.osslab.com.tw」群組，因此我們特別傳送這封郵件通知您。
如要取消訂閱這個群組並停止接收來自這個群組的郵件，請傳送電子郵件到
asterisk-tw...@googlegroups.com

<mailto:asterisk-tw%2Bunsu...@googlegroups.com> 。

如要在此群組張貼留言，請傳送電子郵件至 aster...@googlegroups.com。
請前往以下網址造訪這個群組：
http://groups.google.com/group/asterisk-tw?hl=zh-TW
<http://groups.google.com/group/asterisk-tw?hl=zh-TW。> 。
如需更多選項，請前往：https://groups.google.com/groups/opt_out
<https://groups.google.com/groups/opt_out。> 。





--
您已訂閱「Google 網上論壇」的「Taiwan Asterisk Users' Group -
www.osslab.com.tw」群組，因此我們特別傳送這封郵件通知您。
如要取消訂閱這個群組並停止接收來自這個群組的郵件，請傳送電子郵件到
asterisk-tw...@googlegroups.com。
如要在此群組張貼留言，請傳送電子郵件至 aster...@googlegroups.com。
請前往以下網址造訪這個群組：
http://groups.google.com/group/asterisk-tw?hl=zh-TW
<http://groups.google.com/group/asterisk-tw?hl=zh-TW。> 。
如需更多選項，請前往：https://groups.google.com/groups/opt_out

<https://groups.google.com/groups/opt_out。> 。





未在此訊息中找到病毒。
已透過 AVG 檢查 - www.avg.com
版本: 2012.0.2238 / 病毒庫: 2639/5614 - 發佈日期: 02/18/13

[Michael]

ELASTIX 這個部份要學習的地方真的好多.....不小心所產生的後果可真是不小!

請前往以下網址造訪這個群組：http://groups.google.com/group/asterisk-tw?hl=zh-TW。
如需更多選項，請前往：https://groups.google.com/groups/opt_out。

[lynx.se...@gmail.com]

嗨，你能幫助我建立了我的偉僑，171米用星號連接？ 

請幫我

On Tuesday, February 19, 2013 9:44:59 AM UTC + 8, Michael Liu wrote:

I am currently 2.3 + ATA-171M architecture with elastix, but stolen fight, I want to collect evidence of it?

[A-Lang Hsu, Asterisk/Linux/IT Expert, OSSLab Co-Founder]

Hi,
你可以另外發表一篇不同主旨的文章，然後詳細說明你的設定步驟，最好有貼圖。

--
You received this message because you are subscribed to the Google Groups "Taiwan Asterisk Users' Group - www.osslab.com.tw" group.
To unsubscribe from this group and stop receiving emails from it, send an email to asterisk-tw...@googlegroups.com.
To post to this group, send email to aster...@googlegroups.com.
Visit this group at http://groups.google.com/group/asterisk-tw.
For more options, visit https://groups.google.com/d/optout.