Bin gehackt worden

[jdelphi]

Leider wurde ich von der Telekom per Brief!! darauf hingewiesen worden, das ich sehr viele Anrufe ins Ausland führen würde, und mein Anschluss darauf hin gesperrt wurde.

In der LCI erscheinen auch recht viele Anrufversuche pro Sekunde.

Ersteinmal hatte ich mir den Useraccount rausgesucht, der dafür verantwortlich ist.

Zum meinem entsetzen sollte es eigentlich nicht gehen, weil externe IP's für den User gesperrt sind.

Als ersten schritt hatte ich dann mal das Passwort von dem Account verändert. Jedoch blieb dies erfolglos. (Ein einfaches Reload erst gemacht, anschließend den Telefonserver neugestartet)

Als zweites hatte ich die ausgehende Context auf einen anderen umgeleitet, und den mit einem Hangup quittiert, das hatte erst einmal funktioniert.

Soweit so schlecht.

Abgesichert hatte ich nach dem Vorschlag hier:
https://www.ip-phone-forum.de/threads/howto-asterisk-gegen-hacker-absichern.221457/

Nun meine Fragen:

Warum konnten die sich von außen bei mir einloggen?

Warum hatte das ändern des Kennworts keinerlei Auswirkungen auf die Hacker?
Mein interner Apparat konnte sich nicht mehr mit seinem alten Kennwort anmelden, demnach war das ändern soweit richtig.


Hier noch der USer der Sip.conf

[9000]
callerid=Jdelphi <82>
host=dynamic
domain=192.168.99.88
user=9000
secret=**KENNWORT**
type=friend
mailbox=82
canreinvite=no
contactdeny=0.0.0.0/0.0.0.0
contactpermit=192.168.99.0/255.255.255.0
call-limit=2
context=app82
disallow=all
allow=alaw
allow=ulaw

 

[koyaanisqatsi]

Moin

Nun, wichtig und sicherer wären in der sip.conf...
[general]
allowguest=no
allwaysauthreject=yes
Und bei dem Peer versuch doch mal, wenn der sich eh authentifizieren muss...
type=peer

Und so testen die Blackhats das...
https://sysadminman.net/blog/2009/hacking-and-securing-your-asterisk-server-592
...such doch mal auf youtube nach: sipvicious

 

[DasTelefon]

Hängt das teil direkt im Internet oder gehts über ne Firewall wo nur das offen ist was offen sein soll?

 

[jdelphi]

Also, nun ist die Rechnung da. 1.500 Euro schaden.

So wie es aussieht, ist u.a. das hier falsch gewesen:

contactdeny=0.0.0.0/0.0.0.0
contactpermit=192.168.99.0/255.255.255.0

das muss mittlerweile einfach nur noch so sein:

deny=0.0.0.0/0.0.0.0
permit=192.168.99.0/255.255.255.0

Die Anleitung mit Fail2Ban funktionierte so auch nicht mehr.
Hier werd ich bei Zeit mal eine neue Posten.

Hatt wer Tipps was ich nun bei der Rechnungsreklamation zu beachten habe?

 

[DasTelefon]

Hatt wer Tipps was ich nun bei der Rechnungsreklamation zu beachten habe?

Wieso war ja dein fehler.

 

[KunterBunter]

Nein, Fehler der Telekom. Steht doch schon im ersten Satz.

 

[ciesla]

Wenn man beim richtigen Anbieter wäre, könnte das nicht passieren!
https://www.easybell.de/de/nc/blog/...her-wir-geben-die-betrugsschutz-garantie.html
Wobei nicht fachgerecht an der eigenen Anlage rumspielen sowieso immer so eine Sache ist ...

 

[KunterBunter]

Der von dir genannte "richtige Anbieter" ist jedoch ein diskriminierender.

 

[ciesla]

Dann wäre ich nicht seit 3 Jahren dort. Trotz monatlicher Kündigungsmöglichkeit. Ohne (zumindest derzeit) Absicht, woanders hin zu wechseln!
Auch ich vertrete die Ansicht, daß in Bundesdeutschland die Auswahl eines TK-Anbieters die "Wahl" zwischen Pest und Cholera ist. Insofern habe ich das geringste Übel gewählt. Ja. Aber mit Abstand hierzulande das geringste. Zumindest derzeit.

 

[informerex]

Hatt wer Tipps was ich nun bei der Rechnungsreklamation zu beachten habe?

das war doch nicht ernst gemeint oder?
die haben dich auf einen Fehler hingewiesen - deren Technik hat dich sogar geschützt, dass der Schaden nicht noch größer wird.

du bekommst deine Kiste nicht sicher in Griff und nun soll der Anbieter den Schaden übernehmen?
die sollten dir vielmehr gleich noch was an Strafe (Bearbeitungsgebühren o.ä.) drauf packen

 

[DasTelefon]

du bekommst deine Kiste nicht sicher in Griff und nun soll der Anbieter den Schaden übernehmen?

genau das meinte ich auch.

 

[KunterBunter]

Hat denn der Anbieter als Vertragspartner auch alles in seiner Macht Stehende getan, um den Schaden möglichst gering zu halten?

 

[informerex]

ja, denn er hat gesperrt, als das System Alarm schlugen und das finde ich mehr wie top.

ein Autohersteller geht doch auch nicht hin und bremst (ferngesteuert), weil der Fahrer nicht in der Lage ist sein Auto "nicht sicher" zu führen - irgendwo hört es doch mal auf

oder gibt es ein Alltags-Inkompetenz-Airbag?

 

[KunterBunter]

Im allgemeinen gehe ich mit dir konform, aber wenn das System erst dann Alarm schlägt, nachdem 1500 Euro aufgelaufen sind, finde ich das nicht ganz so top. Die Telekom sollte selber gewarnt sein, denn solche Fälle treten ja mit ihren Routern auch ab und zu auf.

 

[informerex]

da stimme ich dir eingeschränkt zu, denn wo soll das Limit sein? 50/100 usw. (in diesem Zusammenhang momentan regen sich viele Bekannte auf, weil die Banken ein Online-Limit setzen - obwohl das ja jederzeit abgeändert werden kann)
soll zwischen Privat-Anschluss und Firmen-Anschluss unterschieden werden?

(um den o.g. Vergleich nochmals aufzugreifen, sollen die Autohersteller generell 120 km/h fix einstellen, da darüber die höchste Unfallgefahr besteht - oder von 22 Uhr bis 6 Uhr nur, wenn man bläst?)

des weiteren kommen dann andere (freiheitsliebdene) User: "wir werden beschnitten usw."

 

[Netzwerkservice]

Die Frage, welche noch nicht beantwortet wurde sind u.a.:

- ist es ein Privat- oder Geschäftskundenanschluss?
- wie hoch sind sonst so die Kosten/Rechnungen?

Ich kenne das von div. Anbietern, das diese bei plötzlich hohen Rechnungen oder einem Betrag x sperren. Bei Arcor war es z.B. früher im Privatkundensegment früher 500€ im Monat, außer man hat die Sperre ausnehmen lassen.

Auch gibt es div. Business-VoIP-Anbieter wo bestimmte VoIP-Ziele in einer Sperr-Liste haben und man diese Länder aktive freischalten muss.

Dieser Fall ist für mich aber auch ein gutes Beispiel, dass nicht jeder einfach eine Astersik aufsetzen kann mal schnell und dann ist es gut. Es gibt ja solche Vorstellungen im Provideranfragenbereich wo VoIP-Neulinge meinen einen Firmenanschluss mit xx bis xxx Personen mal schnell auf eine Astersik umstellen können, da diese so schön billig/kostenlos ist.