Re: [AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.
Bom Dia, Amigo não uso elastix, não sei qual é os critérios de seguraça que ele utiliza, mais uma coisa que podesa fazer não sei você vonhece, é fazer tunelamento através da porta 22 "ssh" Não epenas para acesso remoto mai sim mais outras finalidades: Vamos explicar uma das finalidades que dá para fazer... Ex: Coloque seu apache para escuitar na porta 80 com endereço 127.0.0.1 Todos concordam que este endereço ele não é roteado OK. então como posso tunelar a porta 80 encima da porta 22? Vamos os ips para o exemplo: IP do ser servidor elastix: 200.10.20.30 então faça um SSH para seu servidor com os seguintes parametros. ssh -L 8080:IP_SERVIDOR_ELASTIX:80 thiago@IP_SERVIDOR_ELASTIX Em resumo: Ele faz um ssh na sua maquina do asterisk e atrela uma porta local em sua maquina 8080 com a 80 do servidor elastix.. Então quando você abrir sua pagina de internet e digotar: http://127.0.0.1:8080 "EM SUA MAQUINA" ele vai acessar a interface do elastix atráves do túnel ssh encapsulando a porta 80.. Isso também pode ser usado para burlar firewall etc... Uma coisa te digo, amigo hoje em dia já se faz tunelamento de portas encima de 80, é complexo.. mais existe :) E para garantir que seu ssh ninguém acesse use certificado RSA libere SSH apenas para seu IP. Se voce utiliza windows isso também é possível, faça o teste! 1º Abra o SSH 2º No menu a esquerda abra o +SSH 3º Clique em Tunnels 4º Clique em LOCAL PORT, em SOURCE PORT coloque sua porta que vais abrir localmente ex: 8080 DESIRNATION coloque o IP DE SER SERVIDOR + PORTA QUE QUERES ACESSAR EX: 200.10.20.30:80 Feito vá no menu a esquerda em LOGGIN e faça o ssh normal... Quando estabelecer sua conexão ssh abra seu browser e digite http://27.0.0.1:8080 Está feita sua conecxão e por cima criptografada! abraços! Abraços. Em 17 de junho de 2014 08:03, Rodrigo Vian escreveu: > Não sei qual sua versão do Elastix, mas me recordo que na versão 1.6 > tinha um bug na interface web que gerava uma falha de segurança... > Tinha uma correção para isso... > > Quanto ao acesso externo, vc pode fechar por firewall... Recomendo > bloquear qualquer ip que não seja do Brasil. Com isso eu diria que está uns > 80% seguro.. > > abs, > > Rodrigo Vian @ iPhone > > Em 17/06/2014, às 07:33, Jerson Luiz de Paula Júnior < > jersonjun...@bsd.com.br> escreveu: > > Openvpn não resolveria seu problema? > > > Em 16 de junho de 2014 18:43, supo...@apexmic.com.br < > supo...@apexmic.com.br> escreveu: > >> Patrick, segundo consta, o login do painel web foi concedido a um IP de >> uma rede 3G no Egito. >> >> As tentativas de ligação sairam daqui. >> >> o jeito é derrubar o apache e inicia-lo por ssh primeiro, depois de >> terminado, fechar novamente. >> >> Nao sei nada de XSS >> >> Em 16-06-2014 18:26, Patrick El Youssef escreveu: >> > Essa invasão foi de IP brasileiro? >> > >> > Em 16-06-2014 18:23, Jefferson B. Limeira escreveu: >> > >> >> ___ >> >> WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu >> conhecimento na tecnologia e portfólio Khomp. Próxima edição >> em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. >> Garanta a sua vaga e saiba mais em: www.workoffee.com.br >> ___ >> ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia >> IP . >> Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Banco de Canais Analógicos – Appliance Asterisk >> Acesse www.aligera.com.br >> ___ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> > > ___ > > WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu > conhecimento na tecnologia e portfólio Khomp. Próxima edição > em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. > Garanta a sua vaga e saiba mais em: www.workoffee.com.br > ___ > ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia > IP . > Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Banco de Canais Analógicos – Appliance Asterisk > Acesse www.aligera.com.br > ___ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > > ___ > > WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu > conhecimento na tecnologia e portfólio Khomp. Próxima edição > em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. > Garanta a sua vaga e saiba mais em: www.workoffee.com.br > ___ > ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia > IP . > Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Banco de Canais Analógicos – Appl
Re: [AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.
Não sei qual sua versão do Elastix, mas me recordo que na versão 1.6 tinha um bug na interface web que gerava uma falha de segurança... Tinha uma correção para isso... Quanto ao acesso externo, vc pode fechar por firewall... Recomendo bloquear qualquer ip que não seja do Brasil. Com isso eu diria que está uns 80% seguro.. abs, Rodrigo Vian @ iPhone > Em 17/06/2014, às 07:33, Jerson Luiz de Paula Júnior > escreveu: > > Openvpn não resolveria seu problema? > > > Em 16 de junho de 2014 18:43, supo...@apexmic.com.br > escreveu: >> Patrick, segundo consta, o login do painel web foi concedido a um IP de >> uma rede 3G no Egito. >> >> As tentativas de ligação sairam daqui. >> >> o jeito é derrubar o apache e inicia-lo por ssh primeiro, depois de >> terminado, fechar novamente. >> >> Nao sei nada de XSS >> >> Em 16-06-2014 18:26, Patrick El Youssef escreveu: >> > Essa invasão foi de IP brasileiro? >> > >> > Em 16-06-2014 18:23, Jefferson B. Limeira escreveu: >> > >> >> ___ >> >> WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu >> conhecimento na tecnologia e portfólio Khomp. Próxima edição >> em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. >> Garanta a sua vaga e saiba mais em: www.workoffee.com.br >> ___ >> ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP . >> Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Banco de Canais Analógicos – Appliance Asterisk >> Acesse www.aligera.com.br >> ___ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > ___ > > WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu > conhecimento na tecnologia e portfólio Khomp. Próxima edição > em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. > Garanta a sua vaga e saiba mais em: www.workoffee.com.br > ___ > ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP . > Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Banco de Canais Analógicos – Appliance Asterisk > Acesse www.aligera.com.br > ___ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu conhecimento na tecnologia e portfólio Khomp. Próxima edição em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. Garanta a sua vaga e saiba mais em: www.workoffee.com.br ___ ALIGERA Fabricante e desenvolvedor nacional de Soluções para telefonia IP . Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Banco de Canais Analógicos Appliance Asterisk Acesse www.aligera.com.br ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.
Openvpn não resolveria seu problema? Em 16 de junho de 2014 18:43, supo...@apexmic.com.br escreveu: > Patrick, segundo consta, o login do painel web foi concedido a um IP de > uma rede 3G no Egito. > > As tentativas de ligação sairam daqui. > > o jeito é derrubar o apache e inicia-lo por ssh primeiro, depois de > terminado, fechar novamente. > > Nao sei nada de XSS > > Em 16-06-2014 18:26, Patrick El Youssef escreveu: > > Essa invasão foi de IP brasileiro? > > > > Em 16-06-2014 18:23, Jefferson B. Limeira escreveu: > > > > ___ > > WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu > conhecimento na tecnologia e portfólio Khomp. Próxima edição > em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. > Garanta a sua vaga e saiba mais em: www.workoffee.com.br > ___ > ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia > IP . > Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Banco de Canais Analógicos – Appliance Asterisk > Acesse www.aligera.com.br > ___ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > ___ WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu conhecimento na tecnologia e portfólio Khomp. Próxima edição em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. Garanta a sua vaga e saiba mais em: www.workoffee.com.br ___ ALIGERA Fabricante e desenvolvedor nacional de Soluções para telefonia IP . Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Banco de Canais Analógicos Appliance Asterisk Acesse www.aligera.com.br ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.
Patrick, segundo consta, o login do painel web foi concedido a um IP de uma rede 3G no Egito. As tentativas de ligação sairam daqui. o jeito é derrubar o apache e inicia-lo por ssh primeiro, depois de terminado, fechar novamente. Nao sei nada de XSS Em 16-06-2014 18:26, Patrick El Youssef escreveu: > Essa invasão foi de IP brasileiro? > > Em 16-06-2014 18:23, Jefferson B. Limeira escreveu: > ___ WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu conhecimento na tecnologia e portfólio Khomp. Próxima edição em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. Garanta a sua vaga e saiba mais em: www.workoffee.com.br ___ ALIGERA Fabricante e desenvolvedor nacional de Soluções para telefonia IP . Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Banco de Canais Analógicos Appliance Asterisk Acesse www.aligera.com.br ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.
Essa invasão foi de IP brasileiro? Em 16-06-2014 18:23, Jefferson B. Limeira escreveu: > Já pensou que pode ser XSS? Se for não adianta senha, ssl, ssh > atualizado... > Deixar qualquer administração na web hoje em dia é loucura. Não conheço > o elastix, não posso opinar sobre as questões de segurança nesta > aplicação. > Mas independente é loucura... no mínimo um vpn básico, com acesso > exclusivo através dela, com alguns fatores de autenticação (certificado, > senha, data, hora). Em uma rápida consulta, existem CVEs deste ano > cadastrados... > > Em 2014-06-16 18:08, supo...@apexmic.com.br escreveu: >> Prezado Alexandre, essa questão do heartbleed é bem aterradora mesmo, e >> até o momento não achei uma solução viável pois preciso de ssh e >> interface web por fora da rede. >> >> eu estava pensando numa abordagem mais paranoica, tipo me enviar um >> alerta a cada login do ssh, tudo bem que sou apenas eu que faço a >> conexão, mas pelo problema do heartBleed, esta solução seria viável? >> >> http://www.blogdohost.com.br/configure-um-alerta-de-login-atraves-do-ssh/ >> >> Embora não achei rastro por ssh na invasão. pelo que apurei, a unica >> coisa que ocorreu foi um acesso pela interface web. Eu poderia usar uma >> senha enorme, mas mesmo assim eu estaria na mão se isso ocorrer >> novamente. no momento estou desligando o apache e só habilitando quando >> for preciso. >> >> Sugestões? >> ___ WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu conhecimento na tecnologia e portfólio Khomp. Próxima edição em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. Garanta a sua vaga e saiba mais em: www.workoffee.com.br ___ ALIGERA Fabricante e desenvolvedor nacional de Soluções para telefonia IP . Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Banco de Canais Analógicos Appliance Asterisk Acesse www.aligera.com.br ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.
Já pensou que pode ser XSS? Se for não adianta senha, ssl, ssh atualizado... Deixar qualquer administração na web hoje em dia é loucura. Não conheço o elastix, não posso opinar sobre as questões de segurança nesta aplicação. Mas independente é loucura... no mínimo um vpn básico, com acesso exclusivo através dela, com alguns fatores de autenticação (certificado, senha, data, hora). Em uma rápida consulta, existem CVEs deste ano cadastrados... Em 2014-06-16 18:08, supo...@apexmic.com.br escreveu: > Prezado Alexandre, essa questão do heartbleed é bem aterradora mesmo, e > até o momento não achei uma solução viável pois preciso de ssh e > interface web por fora da rede. > > eu estava pensando numa abordagem mais paranoica, tipo me enviar um > alerta a cada login do ssh, tudo bem que sou apenas eu que faço a > conexão, mas pelo problema do heartBleed, esta solução seria viável? > > http://www.blogdohost.com.br/configure-um-alerta-de-login-atraves-do-ssh/ > > Embora não achei rastro por ssh na invasão. pelo que apurei, a unica > coisa que ocorreu foi um acesso pela interface web. Eu poderia usar uma > senha enorme, mas mesmo assim eu estaria na mão se isso ocorrer > novamente. no momento estou desligando o apache e só habilitando quando > for preciso. > > Sugestões? > -- []'s Jefferson B. Limeira j...@internexxus.com.br (41) 9928-8628 ___ WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu conhecimento na tecnologia e portfólio Khomp. Próxima edição em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. Garanta a sua vaga e saiba mais em: www.workoffee.com.br ___ ALIGERA Fabricante e desenvolvedor nacional de Soluções para telefonia IP . Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Banco de Canais Analógicos Appliance Asterisk Acesse www.aligera.com.br ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.
Prezado Alexandre, essa questão do heartbleed é bem aterradora mesmo, e até o momento não achei uma solução viável pois preciso de ssh e interface web por fora da rede. eu estava pensando numa abordagem mais paranoica, tipo me enviar um alerta a cada login do ssh, tudo bem que sou apenas eu que faço a conexão, mas pelo problema do heartBleed, esta solução seria viável? http://www.blogdohost.com.br/configure-um-alerta-de-login-atraves-do-ssh/ Embora não achei rastro por ssh na invasão. pelo que apurei, a unica coisa que ocorreu foi um acesso pela interface web. Eu poderia usar uma senha enorme, mas mesmo assim eu estaria na mão se isso ocorrer novamente. no momento estou desligando o apache e só habilitando quando for preciso. Sugestões? Em 16-06-2014 17:29, Alexandre Cavalcante Alencar escreveu: > Olá, > > Recentemente vi um caso onde o sujeito instalou dois binários em /boot > chamados .IpTAbles e .IpTAblex (notem o ponto antes do nome), além de > seus respectivos script de startup em /etc/init.d. > > Como o Elastix usa versões muito antigas de componentes importantes > (OpenSSH, OpenSSL, Kernel, Apache, etc), fica relativamente fácil usar > um exploit amplamente disponível para ganhar acesso a um sistema remoto. > > ___ WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu conhecimento na tecnologia e portfólio Khomp. Próxima edição em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. Garanta a sua vaga e saiba mais em: www.workoffee.com.br ___ ALIGERA Fabricante e desenvolvedor nacional de Soluções para telefonia IP . Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Banco de Canais Analógicos Appliance Asterisk Acesse www.aligera.com.br ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.
Olá, Recentemente vi um caso onde o sujeito instalou dois binários em /boot chamados .IpTAbles e .IpTAblex (notem o ponto antes do nome), além de seus respectivos script de startup em /etc/init.d. Como o Elastix usa versões muito antigas de componentes importantes (OpenSSH, OpenSSL, Kernel, Apache, etc), fica relativamente fácil usar um exploit amplamente disponível para ganhar acesso a um sistema remoto. Sds Alexandre Alencar Twitter @alexandreitpro http://blog.alexandrealencar.net/ http://www.alexandrealencar.net/ http://www.alexandrealencar.com http://www.servicosdeti.com.br/ COBIT, ITIL, CSM, LPI, MCP-I 2014-06-16 14:50 GMT-03:00 supo...@apexmic.com.br : > Boa tarde a todos da lista, > > estou narrando uma situação muito pitoresca que me ocorreu esta madrugada. > > Do nada nenhuma ligação se completava, fui checar o sip show registry e > vi que o meu login da operadora voip havia sido mudado para um endereço > estranho > > o registro estava saindo por uma pseudo operadora de fora do pais, logo > qualquer ligação que vc tentava sair do Elastix nao completava. Mudou > usuario, senha e operadora. Por sorte como minhas ligacoes saem com um > código diferente, seja quem for que tentou, caiu do cavalo. > > Alem de terem mudado a operadora, logaram com o primeiro ramal real da > lista de ramais do elastix e tentaram ligar para um numero que > possivelmente era de Sao Paulo, com varios prefixos, sem sucesso. Seja > quem for, fez o acesso para mudar estes dados pela interface web do > elastix, mas sem ataque de força bruta, pois o fail2ban teria barrado-o. > A conexão que fizeram na interface web era de uma conexão 3G do Egito, e > as tentativas de ligação por volta das 5 da manhã para esse suposto > numero de sao paulo, partiram de um IP do Brasil. > > Não existe registros de falha de acesso no asterisk, no ssh ou da > interface web, só ha um registro de conexão da interface web com um IP > do egito (possivelmente mascarado) > > Seja quem fez que fez isso, não fez ligação das minhas operadoras, mas > por via das dúvidas troquei a senha de todos os ramais, ssh, interface > web e das operadoras. É a primeira vez que isso me acontece. > > A pergunta é: alguém passou por isso? Essa senha do admin da interface > web só eu sei, logo o vazamento da senha seria impossível pois não > anotei em canto algum, não faço acesso pela interface web a quase um mês > de fora da minha rede, mesmo que fosse, o IP mudou na última quinta-feira. > > Não achei rastros no log do ssh (se ele tivesse logado e tentado apagar > os rastros eu saberia, pois quando alguém loga no ssh eu recebo uma > notificação na mesma hora) Toda ligação que passa, o elastix grava o audio. > > Como eu disse, é uma situação bem pitoresca, pois o atacante não tentou > ligar das operadoras que tenho no elastix. > > ___ > > WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu > conhecimento na tecnologia e portfólio Khomp. Próxima edição > em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. > Garanta a sua vaga e saiba mais em: www.workoffee.com.br > ___ > ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia > IP . > Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Banco de Canais Analógicos – Appliance Asterisk > Acesse www.aligera.com.br > ___ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > ___ WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu conhecimento na tecnologia e portfólio Khomp. Próxima edição em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. Garanta a sua vaga e saiba mais em: www.workoffee.com.br ___ ALIGERA Fabricante e desenvolvedor nacional de Soluções para telefonia IP . Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Banco de Canais Analógicos Appliance Asterisk Acesse www.aligera.com.br ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.
Ola! Existiu um caso uma vez que peguei uma invasão em um trixbox que existia na verdade cadastrado na base dois usuarios, um o admin e o outro era um usuario padrao, algo como trixbox, webuser, webadmin, algo do genero! Na qual era uma senha nao cadastrada na instalação mas vinha padrao no sistema, com senha padrao! O engraçadinho viu esta vulneabilidade neste pabx e deitou e rolou! Ve se não é o teu caso, checa se de fato só existe o usuario admin nesta interface web! Da uma boa checada nos logs do apache! Valeu -- Gian Nicodemus Analista de sistemas giannicode...@gmail.com Em 16 de junho de 2014 14:50, supo...@apexmic.com.br escreveu: > Boa tarde a todos da lista, > > estou narrando uma situação muito pitoresca que me ocorreu esta madrugada. > > Do nada nenhuma ligação se completava, fui checar o sip show registry e > vi que o meu login da operadora voip havia sido mudado para um endereço > estranho > > o registro estava saindo por uma pseudo operadora de fora do pais, logo > qualquer ligação que vc tentava sair do Elastix nao completava. Mudou > usuario, senha e operadora. Por sorte como minhas ligacoes saem com um > código diferente, seja quem for que tentou, caiu do cavalo. > > Alem de terem mudado a operadora, logaram com o primeiro ramal real da > lista de ramais do elastix e tentaram ligar para um numero que > possivelmente era de Sao Paulo, com varios prefixos, sem sucesso. Seja > quem for, fez o acesso para mudar estes dados pela interface web do > elastix, mas sem ataque de força bruta, pois o fail2ban teria barrado-o. > A conexão que fizeram na interface web era de uma conexão 3G do Egito, e > as tentativas de ligação por volta das 5 da manhã para esse suposto > numero de sao paulo, partiram de um IP do Brasil. > > Não existe registros de falha de acesso no asterisk, no ssh ou da > interface web, só ha um registro de conexão da interface web com um IP > do egito (possivelmente mascarado) > > Seja quem fez que fez isso, não fez ligação das minhas operadoras, mas > por via das dúvidas troquei a senha de todos os ramais, ssh, interface > web e das operadoras. É a primeira vez que isso me acontece. > > A pergunta é: alguém passou por isso? Essa senha do admin da interface > web só eu sei, logo o vazamento da senha seria impossível pois não > anotei em canto algum, não faço acesso pela interface web a quase um mês > de fora da minha rede, mesmo que fosse, o IP mudou na última quinta-feira. > > Não achei rastros no log do ssh (se ele tivesse logado e tentado apagar > os rastros eu saberia, pois quando alguém loga no ssh eu recebo uma > notificação na mesma hora) Toda ligação que passa, o elastix grava o audio. > > Como eu disse, é uma situação bem pitoresca, pois o atacante não tentou > ligar das operadoras que tenho no elastix. > > ___ > > WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu > conhecimento na tecnologia e portfólio Khomp. Próxima edição > em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. > Garanta a sua vaga e saiba mais em: www.workoffee.com.br > ___ > ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia > IP . > Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Banco de Canais Analógicos – Appliance Asterisk > Acesse www.aligera.com.br > ___ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > ___ WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu conhecimento na tecnologia e portfólio Khomp. Próxima edição em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. Garanta a sua vaga e saiba mais em: www.workoffee.com.br ___ ALIGERA Fabricante e desenvolvedor nacional de Soluções para telefonia IP . Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Banco de Canais Analógicos Appliance Asterisk Acesse www.aligera.com.br ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
[AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.
Boa tarde a todos da lista, estou narrando uma situação muito pitoresca que me ocorreu esta madrugada. Do nada nenhuma ligação se completava, fui checar o sip show registry e vi que o meu login da operadora voip havia sido mudado para um endereço estranho o registro estava saindo por uma pseudo operadora de fora do pais, logo qualquer ligação que vc tentava sair do Elastix nao completava. Mudou usuario, senha e operadora. Por sorte como minhas ligacoes saem com um código diferente, seja quem for que tentou, caiu do cavalo. Alem de terem mudado a operadora, logaram com o primeiro ramal real da lista de ramais do elastix e tentaram ligar para um numero que possivelmente era de Sao Paulo, com varios prefixos, sem sucesso. Seja quem for, fez o acesso para mudar estes dados pela interface web do elastix, mas sem ataque de força bruta, pois o fail2ban teria barrado-o. A conexão que fizeram na interface web era de uma conexão 3G do Egito, e as tentativas de ligação por volta das 5 da manhã para esse suposto numero de sao paulo, partiram de um IP do Brasil. Não existe registros de falha de acesso no asterisk, no ssh ou da interface web, só ha um registro de conexão da interface web com um IP do egito (possivelmente mascarado) Seja quem fez que fez isso, não fez ligação das minhas operadoras, mas por via das dúvidas troquei a senha de todos os ramais, ssh, interface web e das operadoras. É a primeira vez que isso me acontece. A pergunta é: alguém passou por isso? Essa senha do admin da interface web só eu sei, logo o vazamento da senha seria impossível pois não anotei em canto algum, não faço acesso pela interface web a quase um mês de fora da minha rede, mesmo que fosse, o IP mudou na última quinta-feira. Não achei rastros no log do ssh (se ele tivesse logado e tentado apagar os rastros eu saberia, pois quando alguém loga no ssh eu recebo uma notificação na mesma hora) Toda ligação que passa, o elastix grava o audio. Como eu disse, é uma situação bem pitoresca, pois o atacante não tentou ligar das operadoras que tenho no elastix. ___ WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu conhecimento na tecnologia e portfólio Khomp. Próxima edição em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. Garanta a sua vaga e saiba mais em: www.workoffee.com.br ___ ALIGERA Fabricante e desenvolvedor nacional de Soluções para telefonia IP . Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Banco de Canais Analógicos Appliance Asterisk Acesse www.aligera.com.br ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
