.titleBar { margin-bottom: 5px!important; }

Hacker in meinem Asterisk Server

Dieses Thema im Forum "Asterisk Allgemein" wurde erstellt von robi1a, 16 März 2010.

  1. robi1a

    robi1a Neuer User

    Registriert seit:
    29 Dez. 2008
    Beiträge:
    74
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 robi1a, 16 März 2010
    Zuletzt bearbeitet: 17 Aug. 2010
    Heute Nacht hat mein Asterisk-Server an die 100 mal nach Lettland (00371) telefoniert. Habe darauf das Logging erhöht und eine Regel für 0037 eingebaut, dass diese sofort wieder auflegt. Habe nun einen Log von einem Wählversuch und habe gesehen, dass vom Internet (IP 206.51.232.72, eine Maschine in Tampa, Florida) diese Aktion startet. Allerdings verstehe ich nicht wie der in meinen Asterisk-Server reinkommt und die Verbindung nach Lettland startet. Kann mir da wer helfen bzw. kann wer die Logs interpretieren?
    Danke

    Asterisk messages:
    Code:
    [Mar 16 20:06:12] VERBOSE[2689] logger.c:     -- Executing [0037168504563@default:1] NoOp("SIP/206.51.232.72-0825f6b0", "") in new stack
    [Mar 16 20:06:12] VERBOSE[2689] logger.c:     -- Executing [0037168504563@default:2] Verbose("SIP/206.51.232.72-0825f6b0", "1|forbidden number to 0037168504563 from 447793444284") in new stack
    [Mar 16 20:06:12] VERBOSE[2689] logger.c:  forbidden number to 0037168504563 from 447793444284
    [Mar 16 20:06:12] VERBOSE[2689] logger.c:     -- Executing [0037168504563@default:3] Hangup("SIP/206.51.232.72-0825f6b0", "") in new stack
    
    Das "forbidden number ..." ist ein Eintrag von mir.

    Asterisk debug:
    Code:
    [Mar 16 20:06:12] DEBUG[4871] acl.c: ##### Testing 206.51.232.72 with 192.168.0.0
    [Mar 16 20:06:12] DEBUG[4871] acl.c: ##### Testing 206.51.232.72 with 192.168.0.0
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: Target address 206.51.232.72 is not local, substituting externip
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: Setting NAT on RTP to On
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: Allocating new SIP dialog for 7a6c5f00e3d59f1080000002b322ddd9@localhost.localdomain - INVITE (With 
    RTP)
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: T38 state changed to 0 on channel <none>
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: We're settling with these formats: 0x10d (g723|ulaw|alaw|g729)
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: Checking SIP call limits for device 
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: Updating call counter for incoming call
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: *** Our native formats are 0x8 (alaw) 
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: *** Joint capabilities are 0x10d (g723|ulaw|alaw|g729) 
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: *** Our capabilities are 0x10f (g723|gsm|ulaw|alaw|g729) 
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: *** AST_CODEC_CHOOSE formats are 0x8 (alaw) 
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: This channel will not be able to handle video.
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: build_route: Contact hop: <sip:447793444284@206.51.232.72;user=phone>
    [Mar 16 20:06:12] DEBUG[4871] chan_sip.c: SIP/206.51.232.72-0825f6b0: New call is still down.... Trying... 
    [Mar 16 20:06:12] DEBUG[4871] devicestate.c: Notification of state change to be queued on device/channel SIP/206.51.232.72
    [Mar 16 20:06:12] DEBUG[2689] pbx.c: Launching 'NoOp'
    [Mar 16 20:06:12] DEBUG[2689] pbx.c: Function result is '447793444284'
    [Mar 16 20:06:12] DEBUG[2689] pbx.c: Launching 'Verbose'
    [Mar 16 20:06:12] DEBUG[2689] pbx.c: Launching 'Hangup'
    [Mar 16 20:06:12] DEBUG[2689] pbx.c: Spawn extension (default,0037168504563,3) exited non-zero on 'SIP/206.51.232.72-0825f6b0'
    [Mar 16 20:06:12] DEBUG[2689] channel.c: Soft-Hanging up channel 'SIP/206.51.232.72-0825f6b0'
    [Mar 16 20:06:12] DEBUG[2689] channel.c: Hanging up channel 'SIP/206.51.232.72-0825f6b0'
    [Mar 16 20:06:12] DEBUG[2689] chan_sip.c: Hangup call SIP/206.51.232.72-0825f6b0, SIP callid 7a6c5f00e3d59f1080000002b322ddd9@localhost.locald
    omain)
    [Mar 16 20:06:12] DEBUG[2689] chan_sip.c: AST hangup cause 16 (no match found in SIP)
    [Mar 16 20:06:12] DEBUG[2689] devicestate.c: Notification of state change to be queued on device/channel SIP/206.51.232.72
    [Mar 16 20:06:12] DEBUG[4805] chan_sip.c: Checking device state for peer 206.51.232.72
    [Mar 16 20:06:12] DEBUG[4805] devicestate.c: Changing state for SIP/206.51.232.72 - state 1 (Not in use)
    [Mar 16 20:06:12] DEBUG[4872] app_queue.c: Device 'SIP/206.51.232.72' changed to state '1' (Not in use) but we don't care because they're not 
    a member of any queue.
    [Mar 16 20:06:12] DEBUG[4805] chan_sip.c: Checking device state for peer 206.51.232.72
    [Mar 16 20:06:12] DEBUG[4805] devicestate.c: Changing state for SIP/206.51.232.72 - state 1 (Not in use)
    [Mar 16 20:06:12] DEBUG[4872] app_queue.c: Device 'SIP/206.51.232.72' changed to state '1' (Not in use) but we don't care because they're not 
    a member of any queue.
    
    Ich habe keine Nebenstelle mit der Nummer 447793444284. Meine Nebenstellen sind alle 2-stellig. Wie kommt es zu dem default Context. Der entsprechende Context in der extension.conf sieht wie folge aus:

    Code:
    [HBHdialout]
    ;forbidden numbers
    exten => _0037X.,1,NoOp()
    exten => _0037X.,n,Verbose(1|forbidden number to ${EXTEN} from ${CALLERID(num)})
    exten => _0037X.,n,Hangup()
    
    Für jede Hilfe wäre ich dankbar

    Edit Beitrag um weitere Details für "Neuleser":

    Folgende Definitionen waren zu Beginn gesetzt, die sich im Laufe des Threads änderten:
    - allowguest stand auf default also yes
    - deny/permit war nicht gesetzt weil ich an eingehende SIP Verbindungen mit anderen Firmen/Teilnehmer übers Internet dachte
    - aus dem default Context konnte gewählt werden weil ich über den PC wählen wollte (SIPTAPI) -> habe ein wesentlich besseres Interface gefunden (Astelco)
    - Passwörter waren relativ einfach
     
  2. kombjuder

    kombjuder IPPF-Promi

    Registriert seit:
    2 Nov. 2004
    Beiträge:
    3,086
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Weil am Rhein
    Dein Anrufer wählt 0037168504563@deineIP.

    Dafür gibt es keinen Kontext in deiner sip.conf. Damit gilt Kontext default, wenn du nicht ausdrücklich was anderes definiert hast.

    Also sorge dafür, dass über deinen Kontext default kein Anruf nach draussen möglich ist.
     
  3. armincm

    armincm Aktives Mitglied

    Registriert seit:
    3 Aug. 2005
    Beiträge:
    1,006
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wenn du eh keine 'anderen' Zugriff gewähren willst, sollte
    [general]
    allowguest=no
    in sip.conf reichen.

    Armin
     
  4. robi1a

    robi1a Neuer User

    Registriert seit:
    29 Dez. 2008
    Beiträge:
    74
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @kumbjuter
    Ich glaube ich habe Asterisk noch nicht ganz verstanden. Um eine Nummer wie 0037168504563@deineIP an Asterisk zu senden, dachte ich immer, dass zuerst der "Client" sich als Peer registieren muss. Zu irgend einem Endgerät muss doch der Channel hin aufgebaut werden.

    @armincm
    Den Parameter finde ich gut, den habe ich wirklch überlesen.

    Danke, für die Antworten
     
  5. VoIP_Indianer

    VoIP_Indianer Neuer User

    Registriert seit:
    11 Dez. 2005
    Beiträge:
    134
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Die Registrierung eines Clients am Asterisk hat einzig und alleine die Aufgabe, dem Asterisk mitzuteilen, wo der Client zu finden ist (IP/port) falls jemand versuchen sollte, diesen Client anrufen zu wollen. Die Registrierung hat absolut keine "Erlaubnisfunktion" den Asterisk selbst nutzen zu dürfen.

    Es gibt auch VoIP Provider, die Dir das abgehend telefonieren gestatten, ohne daß Du Dein Endgerät erst dort registrieren mußt.

    Entweder Du verwendest den bereits erwähnten Parameter allowguest oder - was ich für die sicherere Lösung halte - Du verwendest einen vollständig leeren [default] Context in der extensions.conf
     
  6. kombjuder

    kombjuder IPPF-Promi

    Registriert seit:
    2 Nov. 2004
    Beiträge:
    3,086
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Weil am Rhein
    Das Endgerät baut den Channel zu Asterisk auf. Von dort gelten die Regeln die in Asterisk hinterlegt sind.

    Wenn du dem Vorschlag von armincm folgst, geht der Aufbau eines Gesprächskanals ohne login nicht mehr.
     
  7. anmeldungsnerv

    anmeldungsnerv Neuer User

    Registriert seit:
    10 Nov. 2007
    Beiträge:
    30
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich auch...

    Auch mein Asterisk wurde von der IP 206.51.232.72 gehackt. Leider wurde auch gut drauflostelefoniert. Hat jemand schon das Abuse-Department an die Strippe bekommen?

    Cheers

    anmeldungsnerv
     
  8. rentier-s

    rentier-s Guest

    Hast Du die oben gemachten Ratschläge befolgt, damit so etwas nicht mehr passieren kann?

    Rentier
     
  9. gandalf94305

    gandalf94305 Guest

    Die "abuse@..." Adressen sind bei manchen Providern wirkungsvoll, bei anderen scheinen E-Mails dorthin ins Nichts zu verschwinden. Telefonisch kann man eine Missbrauchsstelle ohnehin praktisch nie erreichen, außer man kennt zufällig die richtige Person und deren Telefonnummer.

    Einzig möglicher Weg ist die Beweissicherung und Anzeige bei der Polizei. Die Wahrscheinlichkeit, daß man jedoch einen Betreiber in USA zur Rechenschaft ziehen kann, ist sehr gering. Es gab Fälle von SPAM-Providern, die nachweislich enormes Volumen an SPAM verbreiteteten (suche mal nach McColo), und die dann geschlossen wurden... oder Provider, die von ihren Upstream-Providern aufgrund zu hohen SPAM-Aufkommens abgehängt wurden... aber letztendlich kann jeder Blinde in irgendeiner Colocation-Facility ein paar Rechner mieten und nach Entdeckung illegalen oder illegitimen Verhaltens verschwinden und wo anders wieder auftauchen. Abgesehen davon gibt es auch "Unternehmen", die speziell SPAM etc. als Geschäftszweck haben... wenn die eine "abuse" E-Mail bekommen, wird nicht mal mehr gelacht.

    Nicht umsonst haben wir hier im Forum bisher 9 Registrierungen von Usern aus diesem Netzwerk (206.51.224.0/20 - NOC4Hosts), die übrigens alle wegen SPAM-Rating hier gesperrt wurden. Manche Netzwerke sind eben bekannt für Müll.

    Es hilft also wirklich nur, die eigenen Systeme hinreichend sicher zu machen.

    --gandalf.
     
  10. robinsonR

    robinsonR Mitglied

    Registriert seit:
    17 Apr. 2006
    Beiträge:
    559
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Mir ist wohl das gleiche passiert. An zwei Tagen wurde für mehrere Stunden nicht nur nach Lettland sondern auch nach Nordkorea telefoniert. Leider ist das uns erst aufgefallen, als der Provider nachgefragt hat, ob wir wirklich eine so hohe Telefonrechnung und Verbindungen in diese Länder hätten.
    Die erwähnte sip.conf-Einstellung ist an unserem Asterisk so eingestellt. Wie ist es denn trotzdem möglich, in den Asterisk einzudringen. Mir ist nichts aufgefallen, was auf eine [erfolgreiche] Penetration des LANs schliessen lassen würde.
    Hat jemand Erfahrung, wie man da mit Provider, Polizei und evtl. Versicherung umgehen muss, um nicht auf dem fünfstelligen Rechnungsbetrag sitzen zu bleiben? :(
     
  11. anmeldungsnerv

    anmeldungsnerv Neuer User

    Registriert seit:
    10 Nov. 2007
    Beiträge:
    30
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo - kommen die Angriffe von der gleichen IP wie oben stehend? Ich wuerde in erster Linie die ganzen Beweise sichern (IP-Adressen, Zugriffszeiten, etc.) und dann schauen aus welchem Land die Angriffe kommen. Erstmal natuerlich den abuse@ einschalten. Und dann die Polizei.

    Gruesse

    anmeldungsnerv
     
  12. robinsonR

    robinsonR Mitglied

    Registriert seit:
    17 Apr. 2006
    Beiträge:
    559
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ich sehe leider nirgends eine IP-Adresse. Die Anrufe werden von einer Extension initiiert. Habe jetzt dort das Kennwort geändert.
    Das mit abuse@ verstehe ich nicht. :confused:
     
  13. anmeldungsnerv

    anmeldungsnerv Neuer User

    Registriert seit:
    10 Nov. 2007
    Beiträge:
    30
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Schau mal hier:

    [root@green cdr-csv]# pwd
    /var/log/asterisk/cdr-csv

    und dort findet sich die Datei Master.csv:

    Code:
    "","902345305","00212654971418","default","""Anonymous"" <902345305>","SIP/206.51.232.72-5400ccb0","SIP/sipgate-00741a50","Dial","SIP/00212654971418@sipgate||r","2010-04-09 19:16:55",,"2010-04-09 19:16:56",1,0,"NO ANSWER","DOCUMENTATION","asterisk-1270840615.2208",""
    "","561332949","00212677324140","default","""Anonymous"" <561332949>","SIP/206.51.232.72-54011c70","SIP/sipgate-00784f40","Dial","SIP/00212677324140@sipgate||r","2010-04-09 19:16:56",,"2010-04-09 19:16:57",1,0,"NO ANSWER","DOCUMENTATION","asterisk-1270840616.2210",""
    "","415509356","00212677306167","default","""Anonymous"" <415509356>","SIP/206.51.232.72-54018570","SIP/sipgate-007a4d90","Dial","SIP/00212677306167@sipgate||r","2010-04-09 19:16:50",,"2010-04-09 19:17:01",11,0,"BUSY","DOCUMENTATION","asterisk-1270840610.2206",""
    "","246318758","00212678222842","default","""Anonymous"" <246318758>","SIP/206.51.232.72-5400ccb0","SIP/sipgate-00741a50","Dial","SIP/00212678222842@sipgate||r","2010-04-09 19:16:58",,"2010-04-09 19:17:10",12,0,"BUSY","DOCUMENTATION","asterisk-1270840618.2212",""
    "","294496347","00212667047633","default","""Anonymous"" <294496347>","SIP/206.51.232.72-5401e910","SIP/sipgate-007a4d90","Dial","SIP/00212667047633@sipgate||r","2010-04-09 19:17:04",,"2010-04-09 19:17:15",11,0,"BUSY","DOCUMENTATION","asterisk-1270840624.2214",""
    "","772122547","00212654561884","default","""Anonymous"" <772122547>","SIP/206.51.232.72-54023e40","SIP/sipgate-00741a50","Dial","SIP/00212654561884@sipgate||r","2010-04-09 19:17:11",,"2010-04-09 19:17:22",11,0,"BUSY","DOCUMENTATION","asterisk-1270840631.2216",""
    "","638225626","00212658888899","default","""Anonymous"" <638225626>","SIP/206.51.232.72-54011430","SIP/sipgate-00741a50","Dial","SIP/00212658888899@sipgate||r","2010-04-09 19:17:23",,"2010-04-09 19:17:24",1,0,"NO ANSWER","DOCUMENTATION","asterisk-1270840643.2220",""
    "","948664723","00212667629184","default","""Anonymous"" <948664723>","SIP/206.51.232.72-5400ccb0","SIP/sipgate-007a4d90","Dial","SIP/00212667629184@sipgate||r","2010-04-09 19:17:16",,"2010-04-09 19:17:27",11,0,"BUSY","DOCUMENTATION","asterisk-1270840636.2218",""
    "","922429905","00212652888027","default","""Anonymous"" <922429905>","SIP/206.51.232.72-54011430","SIP/sipgate-00741a50","Dial","SIP/00212652888027@sipgate||r","2010-04-09 19:17:31",,"2010-04-09 19:17:36",5,0,"NO ANSWER","DOCUMENTATION","asterisk-1270840651.2224",""
    "","897346038","00212654392498","default","""Anonymous"" <897346038>","SIP/206.51.232.72-5400ccb0","SIP/sipgate-007a4d90","Dial","SIP/00212654392498@sipgate||r","2010-04-09 19:17:28",,"2010-04-09 19:17:39",11,0,"BUSY","DOCUMENTATION","asterisk-1270840648.2222",""
    Hier sieht man, dass die Hacker von der IP 206.51.232.72 kommen und Telefonnummern in Marokko angerufen haben. Die Telefonate habe ich intern zu Sipgate geroutet. Tja, Dumm gelaufen.

    Die Anfrage des WHOIS (whois 206.51.232.72) ergibt, dass die Kiste in Florida steht und man sich an die Adresse 'abuse@noc4hosts.com' wenden soll.. Leider ohne Erfolg (bislang)

    Gruesse

    Ilja
     
  14. robinsonR

    robinsonR Mitglied

    Registriert seit:
    17 Apr. 2006
    Beiträge:
    559
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Vielen Dank für die Aufklärung. Wie schon geschrieben, hat hier jemand das Kennwort einer Nebenstelle geknackt und hat auf diesem Weg in der Weltgeschichte herumtelefoniert.

    Mache mich gerade mit den Reports vertraut. Das längste Gespräch wurde wohl nach England geführt:
    Code:
    2010-04-11 20:01:54	SIP/42-b71...	0XXX	"ICH" <0XXX>	00448719441900	ANSWERED	259227
    Angabe Dauer in der letzten Spalte in Sekunden.
    Übrigens nehme ich nicht an, dass du eine Antwort auf deine E-Mail bekommst.
     
  15. woprr

    woprr Aktives Mitglied

    Registriert seit:
    10 Juni 2007
    Beiträge:
    2,917
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Auf Abusemeldungen wird fast nur bei Beschwerden grosser Organisationen (z.B. Internetprovider) reagiert und Meldungen die nicht in der korrekten Form oder von @freemailer sind sowieso ignoriert

    und bis die Polizei dort ist sind die hacker längst weg und operieren von neuer Basis aus,

    ausserdem könnten die hacker Ihre Angriffspakete so manipulieren dass * IP-Adressen von unschuldigen loggt die Ihr dann zu unrecht anschwärzt und das gibt dann richtig Ärger und kann teuer zu stehen kommen.

    Abusemeldungen sind daher keine gute Empfehlung an Amateure oder User, das ist nur etwas für ausgebildete oder entsprechend erfahrene Profiadministratoren.
     
  16. goaismine

    goaismine Neuer User

    Registriert seit:
    11 Dez. 2007
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    echt dumm !!

    man sollte erstmal grundsätzlich seine Asterisk sichern !!

    Regel #1

    greetz
    goa
     
  17. robinsonR

    robinsonR Mitglied

    Registriert seit:
    17 Apr. 2006
    Beiträge:
    559
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Das ist leicht gesagt. Ich war ja auch der Meinung, er sei sicher. Mir war nicht bewusst, dass man von aussen [so leicht] da rein kommt.
     
  18. schufti

    schufti Mitglied

    Registriert seit:
    11 Feb. 2006
    Beiträge:
    222
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    #18 schufti, 22 Apr. 2010
    Zuletzt bearbeitet: 25 Apr. 2010
    @robinsonR

    naja, das ist wie überall wo mit Passwörtern gearbeitet wird: die Sicherheit steht und fällt mit dem Passwort.

    Zusätzlich mache ich Gebrauch von permit/deny. Die IP-Bereiche von wo meine Teilnehmer sich einloggen (auch wenn sie mobil unterwegs sind) sind ja recht gut eingrenzbar und die IP-Bereiche der "Bösen" finden sich ja hier in den Postings. Zusätzlich empfiehlt es sich bei jedem System, regelmäßig einen Blick auf die Logs zu werfen. Dieser - erfolgreiche - Hack wird sicher nicht der erste Angriff auf dein System gewesen sein.


    @goaismine

    na du bist ja einer .... sollte man ihn nicht überhaupt erst mal zum laufen bringen bevor man gute Ratschläge austeilt?

    NULL Plan, siehe hier, aber 'ne dicke Lippe riskieren....

    leider gibts hier im Forum keinen *Plonk*

    schufti
     
  19. goaismine

    goaismine Neuer User

    Registriert seit:
    11 Dez. 2007
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    na ja

    @schufti

    normalerweise kommentiere ich solche aussagen nicht

    aber was hat das mit meinem Problemfall zutun ?

    die Sicherheit der Asteriks ist auch ein wichtiger Aspekt

    bleiben wir sachlich

    ich bedanke mich

    mit freundlichen grüßen
    goa ~
     
  20. dummuser

    dummuser Mitglied

    Registriert seit:
    21 Juni 2006
    Beiträge:
    346
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Dieser Thread hat mit Deinem Problemfall gar nichts zu tun, hier geht es um Probleme anderer User.

    Klar. Hast du denn auch Hinweise und Tips, WIE ich meinen Asterisk sichern kann? Oder hast Du nur den Hinweise, DAß ich ihn sicher soll?

    Nebenbei: Besitzt Deine Tastatur auch Satzzeichen? Oder nur eine Entertaste?