unser Server is hacked

[VoIP_isti]

Hallo,

Dcallling hat heute morgen den Trunk gesperrt wegen massenhaffte nord-koreanische Anrufe.

Die Anlage ist bei Synapse Global gehostet. (FreeSwitch)

Was kann man in solchen Fällen machen?

Ich habe mich um die Sicherheit - schon aus Know-How Gründen nicht gekümmert. Bin davon ausgegangen, dass der Hoster so etwas macht.

Der Schaden ist auf ¤ 80,- begrenzt.

Hat jemand mit solchen Problemen Erfahrungen?

Danke für die Tipps.

Gr. I.

 

[gandalf94305]

Ein Hoster ist für eine andere Sicherheit zuständig, solange er nicht auch das Application Management übernimmt. Daher ist der Fehler beim Hoster meines Erachtens nicht zu suchen.

Man muss generell vor Inbetriebnahme solcher Systeme eine Risikoanalyse durchführen, um die einzelnen Punkte zu bewerten, geeignete Maßnahmen zu ergreifen, oder zumindest mal zu kennen. Manchmal muss auch nur ein sinnvolles Monitoring und Alerting aufgesetzt werden, um bestimmte Fälle abzufangen. Das ist wohl bei Dcalling passiert. Prophylaxe sind Firewalls und robuste Konfigurationen von Anwendungen, damit die Ausnutzung bekannter Hintertüren reduziert werden kann.

Du solltest jemanden mit einer pragmatischen Risikoanalyse beauftragen und dann die Punkte abwägen. Alternativ kannst Du natürlich auch die Application Management Aufgaben einem Hoster übertragen, der dann auch für die Sicherheit und Integrität der Gesamtlösung verantwortlich ist. Du wärst dann nur für die definierten Betriebs- und Nutzungskosten zuständig.

--gandalf.

 

[VoIP_isti]

Danke!

Ich habe mittlerweile auch kapiert, dass es mein Schuld war. Der Server war völlig ungesichert.

Ich beauftrage jetzt den Hoster den Server zu sichern.

Ich habe die Daten vom Provider erhalten. Es gab einen Anruf auch von einem deutschen Server. Ich erstatte Anzeige gegen unbekannten Täter.

Gr. I.

EDIT: wie kriegt man am Einfachsten ein Firewall auf den Server? Ich würde dann nur die IPs der Clients bzw. des Providers zulassen. Auf dem Server läuft "CentOS"

Was könnt ihr als Schutzmassnahme noch empfehlen?

 

[Newbie0815]

CentOS ist eine Linuxversion und hat als solche Iptables mit dabei.

Da solltest du dich aber auskennen.. oder jemanden beauftragen der sich damit auskennt.

Wenn du nach Client IPs filtern willst: hast du keine Kunden die von privaten DSL Anschlüssen aus telefonieren ? Wenn ja geht das nicht.. da wechseln die IPs täglich...

 

[gandalf94305]

Ich würde auf dem System keinen Firewall installieren, sondern einen Firewall davorsetzen bzw. auf einem Router beim ISP entsprechende Filterregeln implementieren. Wenn sich die IP-Adressbereiche häufig ändern, ist dies eher nicht das Mittel der Wahl - außer man kann die potentiellen Client-Netzwerkbereiche gut einschränken.

Alternativ kann die Verwendung von Zertifikaten zur Authentisierung geprüft werden, was allerdings den Aufwand mit sich bringt, daß Clients des Dienstes Zertifikate benötigen.

Ich weiß nicht, auf welchem Wege das "Hacking" des Servers stattgefunden hat, aber generell sollten für externe Zugriffe nur die erforderlichen SIP/IAX/RTP-Ports geöffnet sein, die externe Clients wirklich auch benötigen. Für administrative Zwecke sollte nur ssh mit einem passenden Zertifikat für Logins erlaubt sein.

--gandalf.