[AsteriskBrasil] RES: Servidor PABX
Instala o fail2ban aí. Após algumas tentativas, ele o IP vai ser bloqueado. Se ele tentar acessar de novo mesmo que de outro IP, vai bloquear novamente. att Gelmerson de Oliveira, Analista de Suporte Hiperfone Comércio e Serviços de Informática Ltda. Rua José Farias, 98, Ed Plena Center 601 Santa Luiza Vitória ES CEP 29 045-945 ( 27 3222-1515 + mailto:ti ti mailto:hiperf...@hiperfone.com.br @hiperfone.com.br Acesse Agora: http://www.hiperfone.com.br/ www.hiperfone.com.br P Você precisa mesmo imprimir? De: asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto:asteriskbrasil-boun...@listas.asteriskbrasil.org] Em nome de Renato Soldi Enviada em: segunda-feira, 2 de janeiro de 2012 11:28 Para: asteriskbrasil@listas.asteriskbrasil.org Assunto: [AsteriskBrasil] Servidor PABX Senhores, estou enfrentando uma dificuldade e preciso de ajuda! Tenho um servidor PABX para a empresa que eu trabalho, e tem alguém invadindo a minha central e configurando para ligações internacionais e apagando as minhas configurações, não me estressa muito isso pois tenho ligações internacionais bloqueadas junto a minha operadora, o chato é ter que ficar reconfigurando meu PABX, já troquei senhas e afins, mas esse infeliz continua acessando e avacalhando, já olhei todos os logs e /var/log/asterisk e não achei nada! Tem algum lugar que eu possa olhar e ver por onde esse cidadão está entrando no meu PABX e ver o IP desse infeliz? Desde já agradeço a atenção! Att. --- Renato Soldi Suporte Técnico LocalNet Telecon LTDA MSN: mailto:supo...@localnet.com.br supo...@localnet.com.br Fone: 54 3055 4921 Plantão: 54 9601 5324 Internet Banda Larga - Hospedagem de Sites - http://www.localnet.com.br/ www.localnet.com.br Operadora VOIP - http://www.localnet.com.br/voip www.univoip.com.br Registro de Domínios Mundias - http://www.registroglobal.com.br/ www.registroglobal.com.br P Antes de imprimir, pense em sua responsabilidade e seu compromisso com o meio ambiente. # Tenha um Feliz Natal e um Ano Novo repleto de felicidades! ___ KHOMP ::: External Series Experience ::: Um novo conceito para o mercado de aplicações que vai fazer você pensar fora da caixa. Aguarde este lançamento ___ DIGIVOICE: Lider no mercado de placas para Asterisk Único fabricante com Centro de Treinamento especializado. LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. www.digivoice.com.br ou (11)3016-5200. __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
[AsteriskBrasil] RES: Servidor PABX
Renato, veja se não está com as senhas padrão do admin do Elastix e/ou freepbx. É muito comum invadirem via HTTP e fazerem isso. De imediato desative o acesso http dando um httpd stop lá no /init.d Depois altere as senhas padrão. Caso vc não precise ficar acessando a interface WEB, mantenha desativada e só ative mediante necessidade. Boa Sorte! Fernando de Meira Lins De: asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto:asteriskbrasil-boun...@listas.asteriskbrasil.org] Em nome de Renato Soldi Enviada em: segunda-feira, 2 de janeiro de 2012 11:28 Para: asteriskbrasil@listas.asteriskbrasil.org Assunto: [AsteriskBrasil] Servidor PABX Senhores, estou enfrentando uma dificuldade e preciso de ajuda! Tenho um servidor PABX para a empresa que eu trabalho, e tem alguém invadindo a minha central e configurando para ligações internacionais e apagando as minhas configurações, não me estressa muito isso pois tenho ligações internacionais bloqueadas junto a minha operadora, o chato é ter que ficar reconfigurando meu PABX, já troquei senhas e afins, mas esse infeliz continua acessando e avacalhando, já olhei todos os logs e /var/log/asterisk e não achei nada! Tem algum lugar que eu possa olhar e ver por onde esse cidadão está entrando no meu PABX e ver o IP desse infeliz? Desde já agradeço a atenção! Att. --- Renato Soldi Suporte Técnico LocalNet Telecon LTDA MSN: mailto:supo...@localnet.com.br supo...@localnet.com.br Fone: 54 3055 4921 Plantão: 54 9601 5324 Internet Banda Larga - Hospedagem de Sites - http://www.localnet.com.br/ www.localnet.com.br Operadora VOIP - http://www.localnet.com.br/voip www.univoip.com.br Registro de Domínios Mundias - http://www.registroglobal.com.br/ www.registroglobal.com.br P Antes de imprimir, pense em sua responsabilidade e seu compromisso com o meio ambiente. # Tenha um Feliz Natal e um Ano Novo repleto de felicidades! ___ KHOMP ::: External Series Experience ::: Um novo conceito para o mercado de aplicações que vai fazer você pensar fora da caixa. Aguarde este lançamento ___ DIGIVOICE: Lider no mercado de placas para Asterisk Único fabricante com Centro de Treinamento especializado. LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. www.digivoice.com.br ou (11)3016-5200. __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] RES: Servidor PABX
Olá, 1 - Um vez invadido ele pode ter posto algum backdoors, faça tudo que pediram anteriormente, mas verifique as portas que necessitam ficar abertas no seu servidor e verifique se tem alguma porta desconhecida para você, para verificar as portas Caso haja alguma porta desconhecida, faça uma busca no google e verifique se corresponde ao seu serviço. digite na console linux: #netstat -tuanp | grep OUÇA (console em portugues) #netstat -tuanp | grep LISTEN (console em inglês) 2 - Aconselho, se não tiver feito, mudar a senha para algo bem forte, com caráteres especiais como ~^$% e bem longo com no mínimo 12 caracteres, e verifique se ainda existe invasão, 3 - verifique tbem, se existe algum script reiniciando o asterisk com outras configurações, verifique isso no contrab /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.monthly/ /etc/crontab/etc/cron.weekly/ 4 - Verifique o /etc/rc.local e verifique se tem um script desconhecido, geralmente ele está sem nenhum script por padrão. Vai ter que fazer um pente-fino no seu server e sair eliminando possibilidades... Boa Sorte, qualquer duvida é só postar :) *Maurício Magalhães.* Em 2 de janeiro de 2012 13:21, Fernando Meira Lins - Diretor Comercial meiral...@midiabyte.com.br escreveu: Renato, veja se não está com as senhas padrão do admin do Elastix e/ou freepbx. É muito comum invadirem via HTTP e fazerem isso. ** ** De imediato desative o acesso http dando um “httpd stop” lá no /init.d ** ** Depois altere as senhas padrão. ** ** Caso vc não precise ficar acessando a interface WEB, mantenha desativada e só ative mediante necessidade. ** ** Boa Sorte! ** ** *Fernando de Meira Lins** *** ** ** *De:* asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto: asteriskbrasil-boun...@listas.asteriskbrasil.org] *Em nome de *Renato Soldi *Enviada em:* segunda-feira, 2 de janeiro de 2012 11:28 *Para:* asteriskbrasil@listas.asteriskbrasil.org *Assunto:* [AsteriskBrasil] Servidor PABX ** ** Senhores, estou enfrentando uma dificuldade e preciso de ajuda! Tenho um servidor PABX para a empresa que eu trabalho, e tem alguém invadindo a minha central e configurando para ligações internacionais e apagando as minhas configurações, não me estressa muito isso pois tenho ligações internacionais bloqueadas junto a minha operadora, o chato é ter que ficar reconfigurando meu PABX, já troquei senhas e afins, mas esse infeliz continua acessando e avacalhando, já olhei todos os logs e /var/log/asterisk e não achei nada! Tem algum lugar que eu possa olhar e ver por onde esse cidadão está entrando no meu PABX e ver o IP desse infeliz? ** ** Desde já agradeço a atenção! ** ** ** ** Att. --- *Renato Soldi* Suporte Técnico LocalNet Telecon LTDA MSN: *supo...@localnet.com.br* Fone: 54 3055 4921 Plantão: 54 9601 5324 Internet Banda Larga - Hospedagem de Sites - www.localnet.com.br Operadora VOIP - www.univoip.com.br http://www.localnet.com.br/voip Registro de Domínios Mundias - www.registroglobal.com.br P Antes de imprimir, pense em sua responsabilidade e seu compromisso com o meio ambiente. *# Tenha um Feliz Natal e um Ano Novo repleto de felicidades!* ** ** ___ KHOMP ::: External Series Experience ::: Um novo conceito para o mercado de aplicações que vai fazer você pensar fora da caixa. Aguarde este lançamento ___ DIGIVOICE: Lider no mercado de placas para Asterisk Único fabricante com Centro de Treinamento especializado. LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. www.digivoice.com.br ou (11)3016-5200. __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP ::: External Series Experience ::: Um novo conceito para o mercado de aplicações que vai fazer você pensar fora da caixa. Aguarde este lançamento ___ DIGIVOICE: Lider no mercado de placas para Asterisk Único fabricante com Centro de Treinamento especializado. LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. www.digivoice.com.br ou (11)3016-5200. __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] RES: Servidor PABX
Vê tbem, Chrootkit http://www.vivaolinux.com.br/artigo/Security-Hacks-Linux-e-BSD?pagina=5 *Maurício Magalhães.* Em 2 de janeiro de 2012 15:20, Mauricio Magalhães mauriciommagalh...@gmail.com escreveu: Olá, 1 - Um vez invadido ele pode ter posto algum backdoors, faça tudo que pediram anteriormente, mas verifique as portas que necessitam ficar abertas no seu servidor e verifique se tem alguma porta desconhecida para você, para verificar as portas Caso haja alguma porta desconhecida, faça uma busca no google e verifique se corresponde ao seu serviço. digite na console linux: #netstat -tuanp | grep OUÇA (console em portugues) #netstat -tuanp | grep LISTEN (console em inglês) 2 - Aconselho, se não tiver feito, mudar a senha para algo bem forte, com caráteres especiais como ~^$% e bem longo com no mínimo 12 caracteres, e verifique se ainda existe invasão, 3 - verifique tbem, se existe algum script reiniciando o asterisk com outras configurações, verifique isso no contrab /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.monthly/ /etc/crontab/etc/cron.weekly/ 4 - Verifique o /etc/rc.local e verifique se tem um script desconhecido, geralmente ele está sem nenhum script por padrão. Vai ter que fazer um pente-fino no seu server e sair eliminando possibilidades... Boa Sorte, qualquer duvida é só postar :) *Maurício Magalhães.* Em 2 de janeiro de 2012 13:21, Fernando Meira Lins - Diretor Comercial meiral...@midiabyte.com.br escreveu: Renato, veja se não está com as senhas padrão do admin do Elastix e/ou freepbx. É muito comum invadirem via HTTP e fazerem isso. ** ** De imediato desative o acesso http dando um “httpd stop” lá no /init.d*** * ** ** Depois altere as senhas padrão. ** ** Caso vc não precise ficar acessando a interface WEB, mantenha desativada e só ative mediante necessidade. ** ** Boa Sorte! ** ** *Fernando de Meira Lins** *** ** ** *De:* asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto: asteriskbrasil-boun...@listas.asteriskbrasil.org] *Em nome de *Renato Soldi *Enviada em:* segunda-feira, 2 de janeiro de 2012 11:28 *Para:* asteriskbrasil@listas.asteriskbrasil.org *Assunto:* [AsteriskBrasil] Servidor PABX ** ** Senhores, estou enfrentando uma dificuldade e preciso de ajuda! Tenho um servidor PABX para a empresa que eu trabalho, e tem alguém invadindo a minha central e configurando para ligações internacionais e apagando as minhas configurações, não me estressa muito isso pois tenho ligações internacionais bloqueadas junto a minha operadora, o chato é ter que ficar reconfigurando meu PABX, já troquei senhas e afins, mas esse infeliz continua acessando e avacalhando, já olhei todos os logs e /var/log/asterisk e não achei nada! Tem algum lugar que eu possa olhar e ver por onde esse cidadão está entrando no meu PABX e ver o IP desse infeliz? ** ** Desde já agradeço a atenção! ** ** ** ** Att. --- *Renato Soldi* Suporte Técnico LocalNet Telecon LTDA MSN: *supo...@localnet.com.br* Fone: 54 3055 4921 Plantão: 54 9601 5324 Internet Banda Larga - Hospedagem de Sites - www.localnet.com.br Operadora VOIP - www.univoip.com.br http://www.localnet.com.br/voip Registro de Domínios Mundias - www.registroglobal.com.br P Antes de imprimir, pense em sua responsabilidade e seu compromisso com o meio ambiente. *# Tenha um Feliz Natal e um Ano Novo repleto de felicidades!* ** ** ___ KHOMP ::: External Series Experience ::: Um novo conceito para o mercado de aplicações que vai fazer você pensar fora da caixa. Aguarde este lançamento ___ DIGIVOICE: Lider no mercado de placas para Asterisk Único fabricante com Centro de Treinamento especializado. LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. www.digivoice.com.br ou (11)3016-5200. __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP ::: External Series Experience ::: Um novo conceito para o mercado de aplicações que vai fazer você pensar fora da caixa. Aguarde este lançamento ___ DIGIVOICE: Lider no mercado de placas para Asterisk Único fabricante com Centro de Treinamento especializado. LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. www.digivoice.com.br ou (11)3016-5200. __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] RES: Servidor PABX
Só adicionando ref. ao Chrootkit, Ao baixa-lo, compile # make e depois # ./chrootkit *Maurício Magalhães.* Em 2 de janeiro de 2012 15:25, Mauricio Magalhães mauriciommagalh...@gmail.com escreveu: Vê tbem, Chrootkit http://www.vivaolinux.com.br/artigo/Security-Hacks-Linux-e-BSD?pagina=5 *Maurício Magalhães.* Em 2 de janeiro de 2012 15:20, Mauricio Magalhães mauriciommagalh...@gmail.com escreveu: Olá, 1 - Um vez invadido ele pode ter posto algum backdoors, faça tudo que pediram anteriormente, mas verifique as portas que necessitam ficar abertas no seu servidor e verifique se tem alguma porta desconhecida para você, para verificar as portas Caso haja alguma porta desconhecida, faça uma busca no google e verifique se corresponde ao seu serviço. digite na console linux: #netstat -tuanp | grep OUÇA (console em portugues) #netstat -tuanp | grep LISTEN (console em inglês) 2 - Aconselho, se não tiver feito, mudar a senha para algo bem forte, com caráteres especiais como ~^$% e bem longo com no mínimo 12 caracteres, e verifique se ainda existe invasão, 3 - verifique tbem, se existe algum script reiniciando o asterisk com outras configurações, verifique isso no contrab /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.monthly/ /etc/crontab/etc/cron.weekly/ 4 - Verifique o /etc/rc.local e verifique se tem um script desconhecido, geralmente ele está sem nenhum script por padrão. Vai ter que fazer um pente-fino no seu server e sair eliminando possibilidades... Boa Sorte, qualquer duvida é só postar :) *Maurício Magalhães.* Em 2 de janeiro de 2012 13:21, Fernando Meira Lins - Diretor Comercial meiral...@midiabyte.com.br escreveu: Renato, veja se não está com as senhas padrão do admin do Elastix e/ou freepbx. É muito comum invadirem via HTTP e fazerem isso. ** ** De imediato desative o acesso http dando um “httpd stop” lá no /init.d** ** ** ** Depois altere as senhas padrão. ** ** Caso vc não precise ficar acessando a interface WEB, mantenha desativada e só ative mediante necessidade. ** ** Boa Sorte! ** ** *Fernando de Meira Lins** *** ** ** *De:* asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto: asteriskbrasil-boun...@listas.asteriskbrasil.org] *Em nome de *Renato Soldi *Enviada em:* segunda-feira, 2 de janeiro de 2012 11:28 *Para:* asteriskbrasil@listas.asteriskbrasil.org *Assunto:* [AsteriskBrasil] Servidor PABX ** ** Senhores, estou enfrentando uma dificuldade e preciso de ajuda! Tenho um servidor PABX para a empresa que eu trabalho, e tem alguém invadindo a minha central e configurando para ligações internacionais e apagando as minhas configurações, não me estressa muito isso pois tenho ligações internacionais bloqueadas junto a minha operadora, o chato é ter que ficar reconfigurando meu PABX, já troquei senhas e afins, mas esse infeliz continua acessando e avacalhando, já olhei todos os logs e /var/log/asterisk e não achei nada! Tem algum lugar que eu possa olhar e ver por onde esse cidadão está entrando no meu PABX e ver o IP desse infeliz? ** ** Desde já agradeço a atenção! ** ** ** ** Att. --- *Renato Soldi* Suporte Técnico LocalNet Telecon LTDA MSN: *supo...@localnet.com.br* Fone: 54 3055 4921 Plantão: 54 9601 5324 Internet Banda Larga - Hospedagem de Sites - www.localnet.com.br Operadora VOIP - www.univoip.com.br http://www.localnet.com.br/voip*** * Registro de Domínios Mundias - www.registroglobal.com.br P Antes de imprimir, pense em sua responsabilidade e seu compromisso com o meio ambiente. *# Tenha um Feliz Natal e um Ano Novo repleto de felicidades!* ** ** ___ KHOMP ::: External Series Experience ::: Um novo conceito para o mercado de aplicações que vai fazer você pensar fora da caixa. Aguarde este lançamento ___ DIGIVOICE: Lider no mercado de placas para Asterisk Único fabricante com Centro de Treinamento especializado. LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. www.digivoice.com.br ou (11)3016-5200. __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP ::: External Series Experience ::: Um novo conceito para o mercado de aplicações que vai fazer você pensar fora da caixa. Aguarde este lançamento ___ DIGIVOICE: Lider no mercado de placas para Asterisk Único fabricante com Centro de Treinamento especializado. LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. www.digivoice.com.br ou (11)3016-5200. __ Para remover seu email desta lista, basta enviar