kra eu fiz um script para meus testes que verifica via string UDP a existencia de ramais em servidores remotos fiquei pasmo com tantas possibilidades, outro problema foi que eu tbm via protocolo sip enviava no meu socket para a porta sip tentativas de senhas e pegava o retorno do protocolo com isso eu sabia se a senha tava certa ou nao .... :-(
Eu sei de softwares que varem as redes a procura de servidores SIP para pegar estas falhas e aproveitam de senhas fracas para se logarem e fazer chamadas... Em minha análise percebi que todos que usam Asterisk com configurações Default de sip.conf irao sofrer ataques :-( Att, Eng Eder de Souza Em 1 de julho de 2010 09:27, jose <jasanc...@terra.com.br> escreveu: > > Pessoal > Realmente o Alberto tem toda razao, falha humana, fiquei só monitorando o > fim de semana após deletar o ramal 100iax, e foi quando notei que na troca > da senha , eu tinha um ramal 100 iax e um sip (este foi criado para teste e > esqueci de deleta-lo) e foi aí que vi que o safado estava saidno pelo 100 > sip com senha facil, depois de deleta-lo nao houve mais ligaçoes, estou > observando , nao alterie nem senha de root nem dos ramais, qualquer novidade > aviso > Obrigado a todos > > > > > Me parece que, sempre que lidamos com (in)segurança, nosso imaginário > nos remete às idéias literárias de William Gibson. Invasão, bugs em > softwares, exploração de falhas, ...eu, sinceramente, acho que não > houve nada disso. > > Minha teoria tem conceitos mais simples: > - Massive port scan procurando servidores Asterisk que aceitem > conexões 'à buffet'; > - Brute force, buscando 'ramais' com senhas null, sequenciais, etc...; > - No caso do José, é possível que, após a alteração da senha, o > 'ramal' tenha continuado com a conexão ativa, o que possibilitaria > originar chamadas por mais algum tempo...só saberemos disso quando o > José responder a thread novamente. > > Acho que nos dias de hoje, com a explosão de profissionais de revista > por aí, fica muito mais fácil buscar falha humana do que perder tempo > buscando bugs e tentando explorar falhas de segurança em software. > KISS. > > -- > Alberto Andrade > > > 2010/6/11 Mario Augusto Mania <mario.ma...@gmail.com>: > >> Gente, acho que eh a primeira vez que escrevo a lista. Mas, devido ao >> assunto, nao posso me calar. >> >> Vejam, o asterisk eh um aplicativo servidor, ou seja, ela nada mais >> nada menos serve conexoes TCP e UDP para os aplicativo clientes (ATAS >> e Softfone, etc..). >> >> A pratica normal eh instalar o asterisk no linux (normalmente centos >> ou debian), eu porem utilizo ele no freebsd, justamente por trabalhar >> com administracao de servidores de rede (e nao soh asterisk) tanto em >> windows, quanto em linux e freebsd. A escolha do FreeBSD eh justamente >> seguranca. >> >> O questao da invasao, eh muito mais provavel que o invasor tenha >> conseguido acesso ao servidor e nao necessariamente ao asterisk, e, >> uma vez dentro do servidor, ele pode ter subido para root atraves de >> algum rootkit, ou entao, como muitas vezes acontece, mesmo com usuario >> normal ele consegue ler o sip.conf ou iax.conf porque as permissoes >> nao foram setadas corretamente. >> >> A partir dai ele consegue usar o asterisk sem necessariamente ter >> invadido o mesmo, e sim o servidor onde ele se encontra. >> >> Eh muito comum bugs em php e apache (que muita gente usa nos >> servidores devido ao fato de utilizar a interface web do asterisk ou o >> FOP), ou entao de aplicativos servidores desktop como servicos de som, >> descoberta de rede etc... etc.., servicos esses que nem deveriam estar >> sendo utilizados em um servidor, mas, infelizmente, muita gente >> configura um servidor linux e instala o ambiente grafico para >> administracao, ou seja, mais softwares instalados, mais chance de >> bugs, mais chances de invasao. >> >> Particularmente, meus servidores nao tem nada de interface grafica >> instalada, para terem uma ideia, um servidor freebsd com asterisk, >> tudo compilado do source, ou seja, nada instalado binario, ocupa menos >> de 700megas no HD, porque soh instalo o necessario. >> >> Desculpem pelo e-mail longo, mas espero que seja uma pequena ajuda >> para que possamos mehorar a utilizacao dos softwares livre que tanto >> sao difamados pela midia. >> >> Para finalizar, cito o PESSIMO exemplo do FENIX LINUX, pra quem nao >> conhece eh um verdade frankstein, todo cheio de gambiarra, que vem >> instalado nesses computadores baratos populares vendido nas casas >> bahia e etc.. >> >> Isso eh um pessimo exemplo de uso de linux, pois mais atrapaha que ajuda. >> >> Atenciosamente >> >> Mario A. Mania >> >> Em 11 de junho de 2010 18:58, Leandro Augusto >> <leandro.augu...@gmail.com> escreveu: >> >>> Provavelmente ele não deve estar utilizando o username para enviar a >>> chamada. Abaixo está alguns procedimentos que o Asterisk segue ao receber >>> uma conexão IAX, foi retirado do Voip Info. Verique se o iax.conf não >>> possui >>> nenhum usuário sem secret, e o principal, jamais utilize o contexto >>> default, >>> pois ali está a origem de muitos ataques. >>> >>> Incoming Connections >>> >>> When Asterisk receives an incoming IAX connection, the initial call >>> information can include a username (in the IAX2 USERNAME field) or not. >>> In >>> addition, the incoming connection has a source IP address that Asterisk >>> can >>> use for authentication as well. >>> >>> If a username is supplied, Asterisk does the following: >>> >>> Search iax.conf for a "type=user" entry with a section name (eg >>> [username]) >>> matching the supplied username; if no matching entry is found, refuse the >>> connection. >>> If the found entry has allow and/or deny settings, compare the IP address >>> of >>> the caller to these lists. If the connection is not allowed, refuse the >>> connection. >>> Perform the desired secret checking (plaintext, md5 or rsa); if it fails, >>> refuse the connection. >>> Accept the connection and send the caller to the context specified in the >>> "context" setting for this iax.conf entry. >>> >>> If a username is not supplied, Asterisk does the following: >>> >>> Search for a "type=user" entry in iax.conf with no secret specified and >>> also >>> allow and/or deny restrictions that do not restrict the caller from >>> connecting. If such an entry is found, accept the connection, and use the >>> name of the found iax.conf entry as the connecting username. >>> Search for a "type=user" entry in iax.conf with no secret specified and >>> no >>> allow and/or deny restrictions at all. If such an entry is found, accept >>> the >>> connection. and use the name of the found iax.conf entry as the >>> connecting >>> username. >>> Search for a "type=user" entry in iax.conf with a secret (or RSA key) >>> specified and also allow and/or deny restrictions that do not restrict >>> the >>> caller from connecting. If such an entry is found, attempt to >>> authenticate >>> the caller using the specified secret or key, and if that passes, accept >>> the >>> connection, and use the name of the found iax.conf entry as the >>> connecting >>> username. >>> Search for a "type=user" entry in iax.conf with a secret (or RSA key) >>> specified and no allow and/or deny restrictions at all. If such an entry >>> is >>> found, attempt to authenticate the caller using the specified secret or >>> key, >>> and if that passes, accept the connection, and use the name of the found >>> iax.conf entry as the connecting username. >>> >>> Em 11 de junho de 2010 16:22, Wagner <wag...@beetelecom.com.br> >>> escreveu: >>> >>>> >>>> Concordo com as alternativas dos amigos, vc também pode utilizar as >>>> linhas >>>> permit e deny para liberar especificamente o IP deste seu ramal 100, se >>>> o >>>> peers estiver em local fixo fica o IP, >>>> Poderia também utilizar nome ao inves de numero na criação do Peer e >>>> definir o 100 no dialpan direto, não sei se em soluções baseadas em Free >>>> PBX >>>> isso é possivel, no asterisk puro dá , me corrijam se estiver errado. >>>> >>>> Att >>>> Wagner Penha >>>> Bee Telecom >>>> >>>> ----- Original Message ----- >>>> From: Marcel - BrasilVox Telecom >>>> To: asteriskbrasil@listas.asteriskbrasil.org >>>> Sent: Friday, June 11, 2010 3:56 PM >>>> Subject: Re: [AsteriskBrasil] invasao >>>> Se o invasor está usando Brute Force em sua senha ** PS: "Mas acho >>>> improvável para uma senha de 20 digitos" ** >>>> é fácil de localizar isto nos logs do asterisk, verifica em: >>>> /var/log/asterisk/messages ou /var/log/asterisk/full ;; caso não os >>>> tenha >>>> é necessário ativar os logs! >>>> >>>> Para ativar os logs: >>>> /etc/asterisk/logger.conf >>>> full => notice,warning,error,debug,verbose >>>> >>>> NOTICE[2708] chan_iax2.c: Host xxx.xxx.xxx.xxx failed MD5 authentication >>>> for '100' .... >>>> >>>> terá muitas linhas com este dizer, se for sempre originado do mesmo IP ; >>>> bloqueie o IP dele através de iptables: >>>> >>>> Marcel >>>> BrasilVox Telecom >>>> www.brasilvox.com.br / voip.brasilvox.com.br >>>> 019 3323 0051 >>>> >>>> Em 11/6/2010 15:38, Alex Tavares Faiotto escreveu: >>>> >>>> Eles podem estar usando um scan, que bate todos os digtos de senha a >>>> descobrir a nova, a maneira e voce pearo ip de quem esta invadindo e >>>> bloquear o mesmo. >>>> >>>> Em 1 de junho de 2010 15:34, jose <jasanc...@terra.com.br> escreveu: >>>> >>>>> >>>>> >>>>> Boa tarde a todos >>>>> Tive probelmas com invasao , entraram no meu asterisk e fizeram ligaçao >>>>> para slovenia, egito, etc...., bom após ter descoberto, isso se deu em >>>>> um >>>>> ramal numero 100 , esse ramal é IAX2, bom o que eu fiz mudei a senha do >>>>> ramal coloquei com 20 numeros e letras, e para minha surpresa >>>>> invadiram novamente. com o mesmo numero de ramal. Nao posso fechar esse >>>>> ramal , alugume sabe me dizer de que forma estao descobrindo a minha >>>>> senha?o unico jeito que vejo é que essa pessoa descobriu a senha de >>>>> root, ou >>>>> tem outra maneira? >>>>> >>>>> >>>>> _______________________________________________ >>>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. >>>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP >>>>> - Suporte técnico local qualificado e gratuito >>>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br >>>>> _______________________________________________ >>>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro. >>>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência >>>>> de >>>>> Redes. >>>>> http://www.encontrovoipcenter.com.br >>>>> ______________________________________________ >>>>> Lista de discussões AsteriskBrasil.org >>>>> AsteriskBrasil@listas.asteriskbrasil.org >>>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil >>>>> >>>> >>>> >>>> _______________________________________________ >>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. >>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP >>>> - Suporte técnico local qualificado e gratuito >>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br >>>> _______________________________________________ >>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro. >>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência >>>> de >>>> Redes. >>>> http://www.encontrovoipcenter.com.br >>>> ______________________________________________ >>>> Lista de discussões AsteriskBrasil.org >>>> AsteriskBrasil@listas.asteriskbrasil.org >>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil >>>> >>>> ________________________________ >>>> >>>> _______________________________________________ >>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. >>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP >>>> - Suporte técnico local qualificado e gratuito >>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br >>>> _______________________________________________ >>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro. >>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência >>>> de >>>> Redes. >>>> http://www.encontrovoipcenter.com.br >>>> ______________________________________________ >>>> Lista de discussões AsteriskBrasil.org >>>> AsteriskBrasil@listas.asteriskbrasil.org >>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil >>>> >>>> ________________________________ >>>> >>>> No virus found in this incoming message. >>>> Checked by AVG - www.avg.com >>>> Version: 8.5.437 / Virus Database: 271.1.1/2931 - Release Date: 06/11/10 >>>> 06:35:00 >>>> >>>> ________________________________ >>>> Estou utilizando a versão gratuita de SPAMfighter para usuários >>>> privados. >>>> Foi removido 1854 emails de spam até hoje. >>>> Os usuários pagantes não têm esta mensagem nos seus emails. >>>> Experimente SPAMfighter de graça agora! >>>> >>>> _______________________________________________ >>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. >>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP >>>> - Suporte técnico local qualificado e gratuito >>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br >>>> _______________________________________________ >>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro. >>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência >>>> de >>>> Redes. >>>> http://www.encontrovoipcenter.com.br >>>> ______________________________________________ >>>> Lista de discussões AsteriskBrasil.org >>>> AsteriskBrasil@listas.asteriskbrasil.org >>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil >>>> >>> >>> >>> _______________________________________________ >>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. >>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP >>> - Suporte técnico local qualificado e gratuito >>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br >>> _______________________________________________ >>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro. >>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de >>> Redes. >>> http://www.encontrovoipcenter.com.br >>> ______________________________________________ >>> Lista de discussões AsteriskBrasil.org >>> AsteriskBrasil@listas.asteriskbrasil.org >>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil >>> >>> >> _______________________________________________ >> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. >> - Hardware com alta disponibilidade de recursos e qualidade KHOMP >> - Suporte técnico local qualificado e gratuito >> Conheça a linha completa de produtos KHOMP em www.khomp.com.br >> _______________________________________________ >> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro. >> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de >> Redes. >> http://www.encontrovoipcenter.com.br >> ______________________________________________ >> Lista de discussões AsteriskBrasil.org >> AsteriskBrasil@listas.asteriskbrasil.org >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil >> >> > > > -------------------------------------------------------------------------------- > > > > > _______________________________________________ > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > - Hardware com alta disponibilidade de recursos e qualidade KHOMP > - Suporte técnico local qualificado e gratuito > Conheça a linha completa de produtos KHOMP em www.khomp.com.br > _______________________________________________ > Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro. > Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de > Redes. > http://www.encontrovoipcenter.com.br > ______________________________________________ > Lista de discussões AsteriskBrasil.org > AsteriskBrasil@listas.asteriskbrasil.org > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > > _______________________________________________ > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > - Hardware com alta disponibilidade de recursos e qualidade KHOMP > - Suporte técnico local qualificado e gratuito > Conheça a linha completa de produtos KHOMP em www.khomp.com.br > _______________________________________________ > Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro. > Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de > Redes. > http://www.encontrovoipcenter.com.br > ______________________________________________ > Lista de discussões AsteriskBrasil.org > AsteriskBrasil@listas.asteriskbrasil.org > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil >
_______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ Participe do I Encontro VoIPCenter, 08 a 10 de junho Rio de Janeiro. Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de Redes. http://www.encontrovoipcenter.com.br ______________________________________________ Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
