Ataques Locales FreePbx
19 views
Skip to first unread message
Servicom Ecuador
Jun 11, 2016, 5:06:19 PM6/11/16
to ES-FreePBX-A2Billing
Saludos amigos espero que se encuentren bien, acudo a ver si alguien me pueda ayudar con este problema
Tengo una central asterisk con FreePbx estaba funcionando de forma local sin problemas, el dueño de la empresa tubo la necesidad de implementar extensiones remotas, para ello el ISP proporcionó una Ip pública y esta fue configurada en un router con los respectivos nateos, yo le sugerí que se coloque un servidor Linux antes de la central para que actue de firewall para proteger pero por falta de presupuesto el cliente no lo implemento y otra persona realizó la instalación de este router mostrando al mundo la central.
Para darle un poco de seguridad a la central instale y configuré fail2ban activando el baneo para accesos no registrados por ssh y registros sip en el puerto 5060, también coloque un par de scripts que leen los logs de asterisk y encuentra fallos de autenticación saca la ip y al banea por tiempo indefinido, a los dos dias después de realizar la instalación de la central con acceso al mundo pincharon esta central, busque en los logs y como tal no pincharon la central sino pincharon una extensión, esta extensión era local y no tenia acceso a realizar llamadas internacionales, es más el código de marcado para llamadas internacionales no esta creada en la central, lo que encontré es esto
[2016-06-10 05:48:46] VERBOSE[28087][C-00001c08] pbx.c: -- Executing [00970597802233@from-internal:1] Macro("SIP/310-0000153f", "user-callerid,LIMIT,EXTERNAL,") in new stack
Después de este hackeo se realizó la implementación del servidor Linux como firewall, he estado monitoreando la central y me encuentro con estos mensajes
[2016-06-11 11:47:40] NOTICE[2975][C-00000001]: chan_sip.c:25751 handle_request_invite: Failed to authenticate device 1299<sip:12...@XX.XX.XX.XX>;tag=70e28bff
[2016-06-11 11:47:52] NOTICE[2975][C-00000002]: chan_sip.c:25751 handle_request_invite: Failed to authenticate device 902<sip:9...@XX.XX.XX.XX>;tag=6c0d5810
Donde XX.XX.XX.XX es la ip pública del servidor, es como que el mismo servidor esta haciendo auto ataques lo cuál me parece un poco ilógico.
Podrían por favor guiarme que es loq ue esta pasando la central esta hackeada o son intentos de hackeo.
Gracias a todos
Tengo una central asterisk con FreePbx estaba funcionando de forma local sin problemas, el dueño de la empresa tubo la necesidad de implementar extensiones remotas, para ello el ISP proporcionó una Ip pública y esta fue configurada en un router con los respectivos nateos, yo le sugerí que se coloque un servidor Linux antes de la central para que actue de firewall para proteger pero por falta de presupuesto el cliente no lo implemento y otra persona realizó la instalación de este router mostrando al mundo la central.
Para darle un poco de seguridad a la central instale y configuré fail2ban activando el baneo para accesos no registrados por ssh y registros sip en el puerto 5060, también coloque un par de scripts que leen los logs de asterisk y encuentra fallos de autenticación saca la ip y al banea por tiempo indefinido, a los dos dias después de realizar la instalación de la central con acceso al mundo pincharon esta central, busque en los logs y como tal no pincharon la central sino pincharon una extensión, esta extensión era local y no tenia acceso a realizar llamadas internacionales, es más el código de marcado para llamadas internacionales no esta creada en la central, lo que encontré es esto
[2016-06-10 05:48:46] VERBOSE[28087][C-00001c08] pbx.c: -- Executing [00970597802233@from-internal:1] Macro("SIP/310-0000153f", "user-callerid,LIMIT,EXTERNAL,") in new stack
Después de este hackeo se realizó la implementación del servidor Linux como firewall, he estado monitoreando la central y me encuentro con estos mensajes
[2016-06-11 11:47:40] NOTICE[2975][C-00000001]: chan_sip.c:25751 handle_request_invite: Failed to authenticate device 1299<sip:12...@XX.XX.XX.XX>;tag=70e28bff
[2016-06-11 11:47:52] NOTICE[2975][C-00000002]: chan_sip.c:25751 handle_request_invite: Failed to authenticate device 902<sip:9...@XX.XX.XX.XX>;tag=6c0d5810
Donde XX.XX.XX.XX es la ip pública del servidor, es como que el mismo servidor esta haciendo auto ataques lo cuál me parece un poco ilógico.
Podrían por favor guiarme que es loq ue esta pasando la central esta hackeada o son intentos de hackeo.
Gracias a todos
Ing. Rodrigo Fernandez
Jun 11, 2016, 5:13:22 PM6/11/16
to es-freepbx...@googlegroups.com
ahhh my young padawan!
te paso mi viejo truco shaolin, si no usas freepbx "apaga" el
httpd y solo prendelo cuando lo necesites, asi tequitaras el 40% de problemas el
otro 30% te lo quita fail2ban y el otro 30% es el parcheco continuo de tu server
(ahh y metele un portsentry) que version de asterisk tienes?
ese "ataque" es un ip spoofing si mal no recuerdo ya que se
"auto ataca" tu server pero es un chino loco o alguien asi
De: es-freepbx...@googlegroups.com [mailto:es-freepbx...@googlegroups.com] En nombre de Servicom Ecuador
Enviado el: sábado, 11 de junio de 2016 04:06 p.m.
Para: ES-FreePBX-A2Billing
Asunto: [ES-FreePBX-A2Billing] Ataques Locales FreePbx
--
Has recibido este mensaje porque estás suscrito al grupo "ES-FreePBX-A2Billing" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a es-freepbx-a2bil...@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a es-freepbx...@googlegroups.com.
Visita este grupo en https://groups.google.com/group/es-freepbx-a2billing.
Para acceder a más opciones, visita https://groups.google.com/d/optout.
Has recibido este mensaje porque estás suscrito al grupo "ES-FreePBX-A2Billing" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a es-freepbx-a2bil...@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a es-freepbx...@googlegroups.com.
Visita este grupo en https://groups.google.com/group/es-freepbx-a2billing.
Para acceder a más opciones, visita https://groups.google.com/d/optout.
Servicom Ecuador
Jun 11, 2016, 5:19:57 PM6/11/16
to ES-FreePBX-A2Billing
Gracias amigo por responder tengo esta version de asterisk 11.21.2, es decir que con esto no me preocupo??
Reply all
Reply to author
Forward
0 new messages