Olá, Recentemente vi um caso onde o sujeito instalou dois binários em /boot chamados .IpTAbles e .IpTAblex (notem o ponto antes do nome), além de seus respectivos script de startup em /etc/init.d.
Como o Elastix usa versões muito antigas de componentes importantes (OpenSSH, OpenSSL, Kernel, Apache, etc), fica relativamente fácil usar um exploit amplamente disponível para ganhar acesso a um sistema remoto. Sds Alexandre Alencar Twitter @alexandreitpro http://blog.alexandrealencar.net/ http://www.alexandrealencar.net/ http://www.alexandrealencar.com http://www.servicosdeti.com.br/ COBIT, ITIL, CSM, LPI, MCP-I 2014-06-16 14:50 GMT-03:00 supo...@apexmic.com.br <supo...@apexmic.com.br>: > Boa tarde a todos da lista, > > estou narrando uma situação muito pitoresca que me ocorreu esta madrugada. > > Do nada nenhuma ligação se completava, fui checar o sip show registry e > vi que o meu login da operadora voip havia sido mudado para um endereço > estranho > > o registro estava saindo por uma pseudo operadora de fora do pais, logo > qualquer ligação que vc tentava sair do Elastix nao completava. Mudou > usuario, senha e operadora. Por sorte como minhas ligacoes saem com um > código diferente, seja quem for que tentou, caiu do cavalo. > > Alem de terem mudado a operadora, logaram com o primeiro ramal real da > lista de ramais do elastix e tentaram ligar para um numero que > possivelmente era de Sao Paulo, com varios prefixos, sem sucesso. Seja > quem for, fez o acesso para mudar estes dados pela interface web do > elastix, mas sem ataque de força bruta, pois o fail2ban teria barrado-o. > A conexão que fizeram na interface web era de uma conexão 3G do Egito, e > as tentativas de ligação por volta das 5 da manhã para esse suposto > numero de sao paulo, partiram de um IP do Brasil. > > Não existe registros de falha de acesso no asterisk, no ssh ou da > interface web, só ha um registro de conexão da interface web com um IP > do egito (possivelmente mascarado) > > Seja quem fez que fez isso, não fez ligação das minhas operadoras, mas > por via das dúvidas troquei a senha de todos os ramais, ssh, interface > web e das operadoras. É a primeira vez que isso me acontece. > > A pergunta é: alguém passou por isso? Essa senha do admin da interface > web só eu sei, logo o vazamento da senha seria impossível pois não > anotei em canto algum, não faço acesso pela interface web a quase um mês > de fora da minha rede, mesmo que fosse, o IP mudou na última quinta-feira. > > Não achei rastros no log do ssh (se ele tivesse logado e tentado apagar > os rastros eu saberia, pois quando alguém loga no ssh eu recebo uma > notificação na mesma hora) Toda ligação que passa, o elastix grava o audio. > > Como eu disse, é uma situação bem pitoresca, pois o atacante não tentou > ligar das operadoras que tenho no elastix. > > _______________________________________________ > > WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu > conhecimento na tecnologia e portfólio Khomp. Próxima edição > em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. > Garanta a sua vaga e saiba mais em: www.workoffee.com.br > _______________________________________________ > ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia > IP . > Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Banco de Canais Analógicos – Appliance Asterisk > Acesse www.aligera.com.br > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >
_______________________________________________ WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu conhecimento na tecnologia e portfólio Khomp. Próxima edição em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. Garanta a sua vaga e saiba mais em: www.workoffee.com.br _______________________________________________ ALIGERA Fabricante e desenvolvedor nacional de Soluções para telefonia IP . Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Banco de Canais Analógicos Appliance Asterisk Acesse www.aligera.com.br _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org