Cursos Asterisk en México

Elastix Hackeado

Colapsar

Anuncio

Colapsar
No hay anuncio todavía.
X
 
  • Filtrar
  • Tiempo
  • Mostrar
Limpiar Todo
nuevos mensajes

  • Elastix Hackeado

    No pense que tuviera que poner este tema pero hay les va, asi es, me hackearon el Elastix,aun no han hecho nada, pero me sorprendio la gravedad del agujero, ya que tengo mi correo personal configurado para enviar los msjs de voz, me encuentro con que en mis elementos enviados, estan 3 Correos, que contienen Logs de mi central, pondre una parte nada mas, el punto es que esta listados todos mis directorios, incluidas las Extensiones y Troncales con sus respectivos passwords :S


    Código:
    from:	 Asterisk VoIP PBX <micorreo@gmail.com>
    to:	 wwassabbi@yandex.ru
    date:	 Tue, Jan 8, 2013 at 2:38 PM
    subject:	 ceva Linux elastixPBX.localdomain 2.6.18-308.11.1.el5 #1 SMP Tue Jul 10 08:49:28 EDT 2012 i686 i686 i386 GNU/Linux
    
    eth0      Link encap:Ethernet  HWaddr 00:30:67:28:72:BE
              inet addr:192.xxx.x.xxx  Bcast:192.xxx.x.xxx  Mask:255.255.255.0
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:1885513 errors:0 dropped:0 overruns:0 frame:0
              TX packets:1900631 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:273016101 (260.3 MiB)  TX bytes:289658534 (276.2 MiB)
              Interrupt:233 Base address:0x8000
    
    lo        Link encap:Local Loopback
              inet addr:127.0.0.1  Mask:255.0.0.0
              UP LOOPBACK RUNNING  MTU:16436  Metric:1
              RX packets:36760 errors:0 dropped:0 overruns:0 frame:0
              TX packets:36760 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:0
              RX bytes:13465529 (12.8 MiB)  TX bytes:13465529 (12.8 MiB)
    Código:
    muh Linux elastixPBX.localdomain 2.6.18-308.11.1.el5 #1 SMP Tue Jul 10 08:49:28 EDT 2012 i686 i686 i386 GNU/Linux
    Asterisk VoIP PBX <micorreo@gmail.com>	 Tue, Jan 8, 2013 at 2:38 PM
    To: reqauthalot@yandex.ru
    
    /etc/asterisk/adsi.conf:[intro]
    /etc/asterisk/agents.conf:[general]
    /etc/asterisk/agents.conf:[agents]
    /etc/asterisk/agents.conf:;urlprefix=http://localhost/calls/
    /etc/asterisk/ais.conf:; [general]
    /etc/asterisk/ais.conf:;    [mwi]
    /etc/asterisk/ais.conf:; phones directly registered to it.
    /etc/asterisk/ais.conf:; [mwi]
    /etc/asterisk/ais.conf:; phones are directly registered.
    /etc/asterisk/ais.conf:; [mwi]
    /etc/asterisk/ais.conf:; This example would be used for a node that has phones directly registered
    /etc/asterisk/ais.conf:; [mwi]
    /etc/asterisk/alarmreceiver.conf:[general]
    Este es el que me alarma, estan listados todos los directorios, incluidos todos los .conf, ya cambie todas mis contraseñas pero evidentemente hay un agujero, y van a volver a atacar, la pregunt es hay algun nuevo bug ?? Como parcho esto ? Gracias

  • #2
    Bugs, hay muchos, sobretodo en lo relacionado al vtiger. Este es el último bug del que oí en noviembre 2012: http://www.elastix.org/index.php/es/...ty-vtiger.html


    2 cosas que te sugiero ampliamente:

    1. Actualiza todo lo relacionado a elastix (yum -y update elastix*)

    2. Pon un firewall con IPtables para bloquear el acceso a tu puerto TCP 443, ya que esa es la principal causa de ataque.


    Si me envias por mensaje privado la IP pública que tengas puedo hacerte una evaluación rápida de cual pudo haber sido la causa del ataque.

    Saludos,
    dCAP Christian Cabrera R.
    Para aprender a usar Asterisk, asiste a uno de mis cursos Asterisk
    Si deseas asesoría pagada, por favor contáctame

    Comentario


    • #3
      Hola

      Hace poco me hackearon mi elastix pero al no poder desbordar trafico internacional parece que desistieron, revisando los logs veo que pusieron el siguiente link https://IP/vtigercrm/vtigerservice.php

      La pregunta es si el ataque pudo venir por ahi ya que lo raro esque cambiaron la contraseña de admin y algunas rutas pero no cambiaron la contraseña de root.

      Saludos

      Comentario


      • #4
        Porque todo el acceso fue a través de interfaz web. Y si, exponer Elastix a internet es una mala, mala idea.

        Vtiger tiene muchas vulnerabilidades, por lo que mi sugerencia es que aparte de actualizar a la versión más reciente, pongas un firewall que impida el acceso desde el exterior.

        Saludos.
        dCAP Christian Cabrera R.
        Para aprender a usar Asterisk, asiste a uno de mis cursos Asterisk
        Si deseas asesoría pagada, por favor contáctame

        Comentario


        • #5
          Pregunta y aprovechando el tema ¿Si quiero sacar llamadas desde fuera lo mejor es usar una VPN?

          O como se recomienda hacer uso de esto?

          Saludos.

          Comentario


          • #6
            La manera mas segura es por VPN, yo personalmente no uso VPN, establezco los accesos por rangos de IP en el iptables y configuro fail2ban, ademas de establecer permit/deny en las extensiones locales, y par las remotas utilizando contraseñas del tipo "ThNkms9!ASG@Dks2skfkcm" desde que recibi ese ataque, me tome la seguridad muy en serio, y desde entonces, no he tenido problemas

            Comentario


            • #7
              milocheri ¿Puedes poner un ejemplo de como quedaria la configuracion? Me interesa ya que quiero poner un Elastix en casa y poder sacar las llamadas desde ahi, pero quiero solo poder conectar las extensiones sin que se vea nada mas.

              Comentario


              • #8
                Código:
                num  target     prot opt source               destination
                1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
                2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
                6    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpts:10000:20000
                8    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53
                9    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:69
                10   ACCEPT     tcp  --  192.0.0.0/8          0.0.0.0/0           tcp dpt:22
                11   ACCEPT     tcp  --  187.0.0.0/8          0.0.0.0/0           tcp dpt:22
                13   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
                14   ACCEPT     tcp  --  187.0.0.0/8          0.0.0.0/0           tcp dpt:80
                17   ACCEPT     tcp  --  189.0.0.0/8          0.0.0.0/0           tcp dpt:443
                18   ACCEPT     tcp  --  187.0.0.0/8          0.0.0.0/0           tcp dpt:443
                19   ACCEPT     tcp  --  200.0.0.0/8          0.0.0.0/0           tcp dpt:443
                20   ACCEPT     tcp  --  201.0.0.0/8          0.0.0.0/0           tcp dpt:443
                25   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
                26   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

                Esa es mi configuración actual

                Comentario


                • #9
                  Gracias Milocheri.

                  Por lo visto solo tienes acceso al puerto 80 de los rangos 187, que seria de internet (proveedor?)

                  Se ve bueno, voy a revisar mi iptables y voy reconfigurando...

                  Saludos!

                  Comentario


                  • #10
                    Tengo Internet de Iusacell, y mi rango de direcciones ip dinamicas siempre esta en 187, los puertos que usa Elastix son el 443 para la interfaz web y el 22 para ssh, el puerto 80, lo deje una vez que deshabilite https para elastix, ahora si te fijas para el accesso al puerto 443, tambien tengo 200, 201 y 189, que son los rangos mas comunes de Telmex y Cablemas aca de donde yo soy, esto es por que a veces no estoy en la oficina y a veces necesito entrar a la interfa web, quedaria de ti que checaras tu cuales son tus rangos de ips, ahora si te fijas para el puerto de la consola el 22, unicamente tengo habilitado el rango 187 (Oficina) y el 192 (red local), Saludos !

                    Comentario

                    Principales Usuarios Activos

                    Colapsar

                    No hay usuarios activos superiores.
                    Trabajando...
                    X