Hacker in meinem Asterisk Server

[robi1a]

Heute Nacht hat mein Asterisk-Server an die 100 mal nach Lettland (00371) telefoniert. Habe darauf das Logging erhöht und eine Regel für 0037 eingebaut, dass diese sofort wieder auflegt. Habe nun einen Log von einem Wählversuch und habe gesehen, dass vom Internet (IP 206.51.232.72, eine Maschine in Tampa, Florida) diese Aktion startet. Allerdings verstehe ich nicht wie der in meinen Asterisk-Server reinkommt und die Verbindung nach Lettland startet. Kann mir da wer helfen bzw. kann wer die Logs interpretieren?
Danke

Asterisk messages:

Code:

[Mar 16 20:06:12] VERBOSE[2689] logger.c:     -- Executing [0037168504563@default:1] NoOp("SIP/206.51.232.72-0825f6b0", "") in new stack
[Mar 16 20:06:12] VERBOSE[2689] logger.c:     -- Executing [0037168504563@default:2] Verbose("SIP/206.51.232.72-0825f6b0", "1|forbidden number to 0037168504563 from 447793444284") in new stack
[Mar 16 20:06:12] VERBOSE[2689] logger.c:  forbidden number to 0037168504563 from 447793444284
[Mar 16 20:06:12] VERBOSE[2689] logger.c:     -- Executing [0037168504563@default:3] Hangup("SIP/206.51.232.72-0825f6b0", "") in new stack

Das "forbidden number ..." ist ein Eintrag von mir.

Asterisk debug:

Code:

[Mar 16 20:06:12] DEBUG[4871] acl.c: ##### Testing 206.51.232.72 with 192.168.0.0
[Mar 16 20:06:12] DEBUG[4871] acl.c: ##### Testing 206.51.232.72 with 192.168.0.0
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: Target address 206.51.232.72 is not local, substituting externip
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: Setting NAT on RTP to On
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: Allocating new SIP dialog for 7a6c5f00e3d59f1080000002b322ddd9@localhost.localdomain - INVITE (With 
RTP)
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: T38 state changed to 0 on channel <none>
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: We're settling with these formats: 0x10d (g723|ulaw|alaw|g729)
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: Checking SIP call limits for device 
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: Updating call counter for incoming call
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: *** Our native formats are 0x8 (alaw) 
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: *** Joint capabilities are 0x10d (g723|ulaw|alaw|g729) 
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: *** Our capabilities are 0x10f (g723|gsm|ulaw|alaw|g729) 
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: *** AST_CODEC_CHOOSE formats are 0x8 (alaw) 
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: This channel will not be able to handle video.
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: build_route: Contact hop: <sip:447793444284@206.51.232.72;user=phone>
[Mar 16 20:06:12] DEBUG[4871] chan_sip.c: SIP/206.51.232.72-0825f6b0: New call is still down.... Trying... 
[Mar 16 20:06:12] DEBUG[4871] devicestate.c: Notification of state change to be queued on device/channel SIP/206.51.232.72
[Mar 16 20:06:12] DEBUG[2689] pbx.c: Launching 'NoOp'
[Mar 16 20:06:12] DEBUG[2689] pbx.c: Function result is '447793444284'
[Mar 16 20:06:12] DEBUG[2689] pbx.c: Launching 'Verbose'
[Mar 16 20:06:12] DEBUG[2689] pbx.c: Launching 'Hangup'
[Mar 16 20:06:12] DEBUG[2689] pbx.c: Spawn extension (default,0037168504563,3) exited non-zero on 'SIP/206.51.232.72-0825f6b0'
[Mar 16 20:06:12] DEBUG[2689] channel.c: Soft-Hanging up channel 'SIP/206.51.232.72-0825f6b0'
[Mar 16 20:06:12] DEBUG[2689] channel.c: Hanging up channel 'SIP/206.51.232.72-0825f6b0'
[Mar 16 20:06:12] DEBUG[2689] chan_sip.c: Hangup call SIP/206.51.232.72-0825f6b0, SIP callid 7a6c5f00e3d59f1080000002b322ddd9@localhost.locald
omain)
[Mar 16 20:06:12] DEBUG[2689] chan_sip.c: AST hangup cause 16 (no match found in SIP)
[Mar 16 20:06:12] DEBUG[2689] devicestate.c: Notification of state change to be queued on device/channel SIP/206.51.232.72
[Mar 16 20:06:12] DEBUG[4805] chan_sip.c: Checking device state for peer 206.51.232.72
[Mar 16 20:06:12] DEBUG[4805] devicestate.c: Changing state for SIP/206.51.232.72 - state 1 (Not in use)
[Mar 16 20:06:12] DEBUG[4872] app_queue.c: Device 'SIP/206.51.232.72' changed to state '1' (Not in use) but we don't care because they're not 
a member of any queue.
[Mar 16 20:06:12] DEBUG[4805] chan_sip.c: Checking device state for peer 206.51.232.72
[Mar 16 20:06:12] DEBUG[4805] devicestate.c: Changing state for SIP/206.51.232.72 - state 1 (Not in use)
[Mar 16 20:06:12] DEBUG[4872] app_queue.c: Device 'SIP/206.51.232.72' changed to state '1' (Not in use) but we don't care because they're not 
a member of any queue.

Ich habe keine Nebenstelle mit der Nummer 447793444284. Meine Nebenstellen sind alle 2-stellig. Wie kommt es zu dem default Context. Der entsprechende Context in der extension.conf sieht wie folge aus:

Code:

[HBHdialout]
;forbidden numbers
exten => _0037X.,1,NoOp()
exten => _0037X.,n,Verbose(1|forbidden number to ${EXTEN} from ${CALLERID(num)})
exten => _0037X.,n,Hangup()

Für jede Hilfe wäre ich dankbar

Edit Beitrag um weitere Details für "Neuleser":

Folgende Definitionen waren zu Beginn gesetzt, die sich im Laufe des Threads änderten:
- allowguest stand auf default also yes
- deny/permit war nicht gesetzt weil ich an eingehende SIP Verbindungen mit anderen Firmen/Teilnehmer übers Internet dachte
- aus dem default Context konnte gewählt werden weil ich über den PC wählen wollte (SIPTAPI) -> habe ein wesentlich besseres Interface gefunden (Astelco)
- Passwörter waren relativ einfach

[kombjuder]

Für jede Hilfe wäre ich dankbar

Dein Anrufer wählt 0037168504563@deineIP.

Dafür gibt es keinen Kontext in deiner sip.conf. Damit gilt Kontext default, wenn du nicht ausdrücklich was anderes definiert hast.

Also sorge dafür, dass über deinen Kontext default kein Anruf nach draussen möglich ist.

[armincm]

Wenn du eh keine 'anderen' Zugriff gewähren willst, sollte
[general]
allowguest=no
in sip.conf reichen.

Armin

[robi1a]

@kumbjuter
Ich glaube ich habe Asterisk noch nicht ganz verstanden. Um eine Nummer wie 0037168504563@deineIP an Asterisk zu senden, dachte ich immer, dass zuerst der "Client" sich als Peer registieren muss. Zu irgend einem Endgerät muss doch der Channel hin aufgebaut werden.

@armincm
Den Parameter finde ich gut, den habe ich wirklch überlesen.

Danke, für die Antworten

[VoIP_Indianer]

dachte ich immer, dass zuerst der "Client" sich als Peer registieren muss.

Die Registrierung eines Clients am Asterisk hat einzig und alleine die Aufgabe, dem Asterisk mitzuteilen, wo der Client zu finden ist (IP/port) falls jemand versuchen sollte, diesen Client anrufen zu wollen. Die Registrierung hat absolut keine "Erlaubnisfunktion" den Asterisk selbst nutzen zu dürfen.

Es gibt auch VoIP Provider, die Dir das abgehend telefonieren gestatten, ohne daß Du Dein Endgerät erst dort registrieren mußt.

Entweder Du verwendest den bereits erwähnten Parameter allowguest oder - was ich für die sicherere Lösung halte - Du verwendest einen vollständig leeren [default] Context in der extensions.conf

[kombjuder]

Zu irgend einem Endgerät muss doch der Channel hin aufgebaut werden.

Das Endgerät baut den Channel zu Asterisk auf. Von dort gelten die Regeln die in Asterisk hinterlegt sind.

Wenn du dem Vorschlag von armincm folgst, geht der Aufbau eines Gesprächskanals ohne login nicht mehr.

[anmeldungsnerv]

Ich auch...

Auch mein Asterisk wurde von der IP 206.51.232.72 gehackt. Leider wurde auch gut drauflostelefoniert. Hat jemand schon das Abuse-Department an die Strippe bekommen?

Cheers

anmeldungsnerv

[rentier-s]

Hast Du die oben gemachten Ratschläge befolgt, damit so etwas nicht mehr passieren kann?

Rentier

[gandalf94305]

Die "abuse@..." Adressen sind bei manchen Providern wirkungsvoll, bei anderen scheinen E-Mails dorthin ins Nichts zu verschwinden. Telefonisch kann man eine Missbrauchsstelle ohnehin praktisch nie erreichen, außer man kennt zufällig die richtige Person und deren Telefonnummer.

Einzig möglicher Weg ist die Beweissicherung und Anzeige bei der Polizei. Die Wahrscheinlichkeit, daß man jedoch einen Betreiber in USA zur Rechenschaft ziehen kann, ist sehr gering. Es gab Fälle von SPAM-Providern, die nachweislich enormes Volumen an SPAM verbreiteteten (suche mal nach McColo), und die dann geschlossen wurden... oder Provider, die von ihren Upstream-Providern aufgrund zu hohen SPAM-Aufkommens abgehängt wurden... aber letztendlich kann jeder Blinde in irgendeiner Colocation-Facility ein paar Rechner mieten und nach Entdeckung illegalen oder illegitimen Verhaltens verschwinden und wo anders wieder auftauchen. Abgesehen davon gibt es auch "Unternehmen", die speziell SPAM etc. als Geschäftszweck haben... wenn die eine "abuse" E-Mail bekommen, wird nicht mal mehr gelacht.

Nicht umsonst haben wir hier im Forum bisher 9 Registrierungen von Usern aus diesem Netzwerk (206.51.224.0/20 - NOC4Hosts), die übrigens alle wegen SPAM-Rating hier gesperrt wurden. Manche Netzwerke sind eben bekannt für Müll.

Es hilft also wirklich nur, die eigenen Systeme hinreichend sicher zu machen.

--gandalf.

[robinsonR]

Mir ist wohl das gleiche passiert. An zwei Tagen wurde für mehrere Stunden nicht nur nach Lettland sondern auch nach Nordkorea telefoniert. Leider ist das uns erst aufgefallen, als der Provider nachgefragt hat, ob wir wirklich eine so hohe Telefonrechnung und Verbindungen in diese Länder hätten.
Die erwähnte sip.conf-Einstellung ist an unserem Asterisk so eingestellt. Wie ist es denn trotzdem möglich, in den Asterisk einzudringen. Mir ist nichts aufgefallen, was auf eine [erfolgreiche] Penetration des LANs schliessen lassen würde.
Hat jemand Erfahrung, wie man da mit Provider, Polizei und evtl. Versicherung umgehen muss, um nicht auf dem fünfstelligen Rechnungsbetrag sitzen zu bleiben?

[anmeldungsnerv]

Hallo - kommen die Angriffe von der gleichen IP wie oben stehend? Ich wuerde in erster Linie die ganzen Beweise sichern (IP-Adressen, Zugriffszeiten, etc.) und dann schauen aus welchem Land die Angriffe kommen. Erstmal natuerlich den abuse@ einschalten. Und dann die Polizei.

Gruesse

anmeldungsnerv

[robinsonR]

Ich sehe leider nirgends eine IP-Adresse. Die Anrufe werden von einer Extension initiiert. Habe jetzt dort das Kennwort geändert.
Das mit abuse@ verstehe ich nicht.

[anmeldungsnerv]

Schau mal hier:

[root@green cdr-csv]# pwd
/var/log/asterisk/cdr-csv

und dort findet sich die Datei Master.csv:

Code:

"","902345305","00212654971418","default","""Anonymous"" <902345305>","SIP/206.51.232.72-5400ccb0","SIP/sipgate-00741a50","Dial","SIP/00212654971418@sipgate||r","2010-04-09 19:16:55",,"2010-04-09 19:16:56",1,0,"NO ANSWER","DOCUMENTATION","asterisk-1270840615.2208",""
"","561332949","00212677324140","default","""Anonymous"" <561332949>","SIP/206.51.232.72-54011c70","SIP/sipgate-00784f40","Dial","SIP/00212677324140@sipgate||r","2010-04-09 19:16:56",,"2010-04-09 19:16:57",1,0,"NO ANSWER","DOCUMENTATION","asterisk-1270840616.2210",""
"","415509356","00212677306167","default","""Anonymous"" <415509356>","SIP/206.51.232.72-54018570","SIP/sipgate-007a4d90","Dial","SIP/00212677306167@sipgate||r","2010-04-09 19:16:50",,"2010-04-09 19:17:01",11,0,"BUSY","DOCUMENTATION","asterisk-1270840610.2206",""
"","246318758","00212678222842","default","""Anonymous"" <246318758>","SIP/206.51.232.72-5400ccb0","SIP/sipgate-00741a50","Dial","SIP/00212678222842@sipgate||r","2010-04-09 19:16:58",,"2010-04-09 19:17:10",12,0,"BUSY","DOCUMENTATION","asterisk-1270840618.2212",""
"","294496347","00212667047633","default","""Anonymous"" <294496347>","SIP/206.51.232.72-5401e910","SIP/sipgate-007a4d90","Dial","SIP/00212667047633@sipgate||r","2010-04-09 19:17:04",,"2010-04-09 19:17:15",11,0,"BUSY","DOCUMENTATION","asterisk-1270840624.2214",""
"","772122547","00212654561884","default","""Anonymous"" <772122547>","SIP/206.51.232.72-54023e40","SIP/sipgate-00741a50","Dial","SIP/00212654561884@sipgate||r","2010-04-09 19:17:11",,"2010-04-09 19:17:22",11,0,"BUSY","DOCUMENTATION","asterisk-1270840631.2216",""
"","638225626","00212658888899","default","""Anonymous"" <638225626>","SIP/206.51.232.72-54011430","SIP/sipgate-00741a50","Dial","SIP/00212658888899@sipgate||r","2010-04-09 19:17:23",,"2010-04-09 19:17:24",1,0,"NO ANSWER","DOCUMENTATION","asterisk-1270840643.2220",""
"","948664723","00212667629184","default","""Anonymous"" <948664723>","SIP/206.51.232.72-5400ccb0","SIP/sipgate-007a4d90","Dial","SIP/00212667629184@sipgate||r","2010-04-09 19:17:16",,"2010-04-09 19:17:27",11,0,"BUSY","DOCUMENTATION","asterisk-1270840636.2218",""
"","922429905","00212652888027","default","""Anonymous"" <922429905>","SIP/206.51.232.72-54011430","SIP/sipgate-00741a50","Dial","SIP/00212652888027@sipgate||r","2010-04-09 19:17:31",,"2010-04-09 19:17:36",5,0,"NO ANSWER","DOCUMENTATION","asterisk-1270840651.2224",""
"","897346038","00212654392498","default","""Anonymous"" <897346038>","SIP/206.51.232.72-5400ccb0","SIP/sipgate-007a4d90","Dial","SIP/00212654392498@sipgate||r","2010-04-09 19:17:28",,"2010-04-09 19:17:39",11,0,"BUSY","DOCUMENTATION","asterisk-1270840648.2222",""

Hier sieht man, dass die Hacker von der IP 206.51.232.72 kommen und Telefonnummern in Marokko angerufen haben. Die Telefonate habe ich intern zu Sipgate geroutet. Tja, Dumm gelaufen.

Die Anfrage des WHOIS (whois 206.51.232.72) ergibt, dass die Kiste in Florida steht und man sich an die Adresse 'abuse@noc4hosts.com' wenden soll.. Leider ohne Erfolg (bislang)

Gruesse

Ilja

[robinsonR]

Vielen Dank für die Aufklärung. Wie schon geschrieben, hat hier jemand das Kennwort einer Nebenstelle geknackt und hat auf diesem Weg in der Weltgeschichte herumtelefoniert.

Mache mich gerade mit den Reports vertraut. Das längste Gespräch wurde wohl nach England geführt:

Code:

2010-04-11 20:01:54	SIP/42-b71...	0XXX	"ICH" <0XXX>	00448719441900	ANSWERED	259227

Angabe Dauer in der letzten Spalte in Sekunden.
Übrigens nehme ich nicht an, dass du eine Antwort auf deine E-Mail bekommst.

[woprr]

Erstmal natuerlich den abuse@ einschalten. Und dann die Polizei.

Auf Abusemeldungen wird fast nur bei Beschwerden grosser Organisationen (z.B. Internetprovider) reagiert und Meldungen die nicht in der korrekten Form oder von @freemailer sind sowieso ignoriert

und bis die Polizei dort ist sind die hacker längst weg und operieren von neuer Basis aus,

ausserdem könnten die hacker Ihre Angriffspakete so manipulieren dass * IP-Adressen von unschuldigen loggt die Ihr dann zu unrecht anschwärzt und das gibt dann richtig Ärger und kann teuer zu stehen kommen.

Abusemeldungen sind daher keine gute Empfehlung an Amateure oder User, das ist nur etwas für ausgebildete oder entsprechend erfahrene Profiadministratoren.

[goaismine]

man sollte erstmal grundsätzlich seine Asterisk sichern !!

Regel #1

greetz
goa

[robinsonR]

Das ist leicht gesagt. Ich war ja auch der Meinung, er sei sicher. Mir war nicht bewusst, dass man von aussen [so leicht] da rein kommt.

[schufti]

@robinsonR

naja, das ist wie überall wo mit Passwörtern gearbeitet wird: die Sicherheit steht und fällt mit dem Passwort.

Zusätzlich mache ich Gebrauch von permit/deny. Die IP-Bereiche von wo meine Teilnehmer sich einloggen (auch wenn sie mobil unterwegs sind) sind ja recht gut eingrenzbar und die IP-Bereiche der "Bösen" finden sich ja hier in den Postings. Zusätzlich empfiehlt es sich bei jedem System, regelmäßig einen Blick auf die Logs zu werfen. Dieser - erfolgreiche - Hack wird sicher nicht der erste Angriff auf dein System gewesen sein.


@goaismine

na du bist ja einer .... sollte man ihn nicht überhaupt erst mal zum laufen bringen bevor man gute Ratschläge austeilt?

NULL Plan, siehe hier, aber 'ne dicke Lippe riskieren....

leider gibts hier im Forum keinen *Plonk*

schufti

[goaismine]

@schufti

normalerweise kommentiere ich solche aussagen nicht

aber was hat das mit meinem Problemfall zutun ?

die Sicherheit der Asteriks ist auch ein wichtiger Aspekt

bleiben wir sachlich

ich bedanke mich

mit freundlichen grüßen
goa ~

[dummuser]

aber was hat das mit meinem Problemfall zutun ?

Dieser Thread hat mit Deinem Problemfall gar nichts zu tun, hier geht es um Probleme anderer User.

die Sicherheit der Asteriks ist auch ein wichtiger Aspekt

Klar. Hast du denn auch Hinweise und Tips, WIE ich meinen Asterisk sichern kann? Oder hast Du nur den Hinweise, DAß ich ihn sicher soll?

Nebenbei: Besitzt Deine Tastatur auch Satzzeichen? Oder nur eine Entertaste?