[AsteriskBrasil] invasao

jose jasanchez em terra.com.br
Segunda Junho 14 09:53:12 BRT 2010


Pessoal
Realmente o Alberto tem toda razao, falha humana,  fiquei só monitorando o 
fim de semana após deletar o ramal 100iax, e foi quando notei que na troca 
da senha , eu tinha um ramal 100 iax e um sip (este foi criado para teste e 
esqueci de deleta-lo) e foi aí que vi que o safado estava saidno pelo 100 
sip com senha facil, depois de deleta-lo nao houve mais ligaçoes, estou 
observando , nao alterie nem senha de root nem dos ramais, qualquer novidade 
aviso
Obrigado a todos



Me parece que, sempre que lidamos com (in)segurança, nosso imaginário
nos remete às idéias literárias de William Gibson. Invasão, bugs em
softwares, exploração de falhas, ...eu, sinceramente, acho que não
houve nada disso.

Minha teoria tem conceitos mais simples:
- Massive port scan procurando servidores Asterisk que aceitem
conexões 'à buffet';
- Brute force, buscando 'ramais' com senhas null, sequenciais, etc...;
- No caso do José, é possível que, após a alteração da senha, o
'ramal' tenha continuado com a conexão ativa, o que possibilitaria
originar chamadas por mais algum tempo...só saberemos disso quando o
José responder a thread novamente.

Acho que nos dias de hoje, com a explosão de profissionais de revista
por aí, fica muito mais fácil buscar falha humana do que perder tempo
buscando bugs e tentando explorar falhas de segurança em software.
KISS.

--
Alberto Andrade


2010/6/11 Mario Augusto Mania <mario.mania em gmail.com>:
> Gente, acho que eh a primeira vez que escrevo a lista. Mas, devido ao
> assunto, nao posso me calar.
>
> Vejam, o asterisk eh um aplicativo servidor, ou seja, ela nada mais
> nada menos serve conexoes TCP e UDP para os aplicativo clientes (ATAS
> e Softfone, etc..).
>
> A pratica normal eh instalar o asterisk no linux (normalmente centos
> ou debian), eu porem utilizo ele no freebsd, justamente por trabalhar
> com administracao de servidores de rede (e nao soh asterisk) tanto em
> windows, quanto em linux e freebsd. A escolha do FreeBSD eh justamente
> seguranca.
>
> O questao da invasao, eh muito mais provavel que o invasor tenha
> conseguido acesso ao servidor e nao necessariamente ao asterisk, e,
> uma vez dentro do servidor, ele pode ter subido para root atraves de
> algum rootkit, ou entao, como muitas vezes acontece, mesmo com usuario
> normal ele consegue ler o sip.conf ou iax.conf porque as permissoes
> nao foram setadas corretamente.
>
> A partir dai ele consegue usar o asterisk sem necessariamente ter
> invadido o mesmo, e sim o servidor onde ele se encontra.
>
> Eh muito comum bugs em php e apache (que muita gente usa nos
> servidores devido ao fato de utilizar a interface web do asterisk ou o
> FOP), ou entao de aplicativos servidores desktop como servicos de som,
> descoberta de rede etc... etc.., servicos esses que nem deveriam estar
> sendo utilizados em um servidor, mas, infelizmente, muita gente
> configura um servidor linux e instala o ambiente grafico para
> administracao, ou seja, mais softwares instalados, mais chance de
> bugs, mais chances de invasao.
>
> Particularmente, meus servidores nao tem nada de interface grafica
> instalada, para terem uma ideia, um servidor freebsd com asterisk,
> tudo compilado do source, ou seja, nada instalado binario, ocupa menos
> de 700megas no HD, porque soh instalo o necessario.
>
> Desculpem pelo e-mail longo, mas espero que seja uma pequena ajuda
> para que possamos mehorar a utilizacao dos softwares livre que tanto
> sao difamados pela midia.
>
> Para finalizar, cito o PESSIMO exemplo do FENIX LINUX, pra quem nao
> conhece eh um verdade frankstein, todo cheio de gambiarra, que vem
> instalado nesses computadores baratos populares vendido nas casas
> bahia e etc..
>
> Isso eh um pessimo exemplo de uso de linux, pois mais atrapaha que ajuda.
>
> Atenciosamente
>
> Mario A. Mania
>
> Em 11 de junho de 2010 18:58, Leandro Augusto
> <leandro.augusto em gmail.com> escreveu:
>> Provavelmente ele não deve estar utilizando o username para enviar a
>> chamada. Abaixo está alguns procedimentos que o Asterisk segue ao receber
>> uma conexão IAX, foi retirado do Voip Info. Verique se o iax.conf não 
>> possui
>> nenhum usuário sem secret, e o principal, jamais utilize o contexto 
>> default,
>> pois ali está a origem de muitos ataques.
>>
>> Incoming Connections
>>
>> When Asterisk receives an incoming IAX connection, the initial call
>> information can include a username (in the IAX2 USERNAME field) or not. 
>> In
>> addition, the incoming connection has a source IP address that Asterisk 
>> can
>> use for authentication as well.
>>
>> If a username is supplied, Asterisk does the following:
>>
>> Search iax.conf for a "type=user" entry with a section name (eg 
>> [username])
>> matching the supplied username; if no matching entry is found, refuse the
>> connection.
>> If the found entry has allow and/or deny settings, compare the IP address 
>> of
>> the caller to these lists. If the connection is not allowed, refuse the
>> connection.
>> Perform the desired secret checking (plaintext, md5 or rsa); if it fails,
>> refuse the connection.
>> Accept the connection and send the caller to the context specified in the
>> "context" setting for this iax.conf entry.
>>
>> If a username is not supplied, Asterisk does the following:
>>
>> Search for a "type=user" entry in iax.conf with no secret specified and 
>> also
>> allow and/or deny restrictions that do not restrict the caller from
>> connecting. If such an entry is found, accept the connection, and use the
>> name of the found iax.conf entry as the connecting username.
>> Search for a "type=user" entry in iax.conf with no secret specified and 
>> no
>> allow and/or deny restrictions at all. If such an entry is found, accept 
>> the
>> connection. and use the name of the found iax.conf entry as the 
>> connecting
>> username.
>> Search for a "type=user" entry in iax.conf with a secret (or RSA key)
>> specified and also allow and/or deny restrictions that do not restrict 
>> the
>> caller from connecting. If such an entry is found, attempt to 
>> authenticate
>> the caller using the specified secret or key, and if that passes, accept 
>> the
>> connection, and use the name of the found iax.conf entry as the 
>> connecting
>> username.
>> Search for a "type=user" entry in iax.conf with a secret (or RSA key)
>> specified and no allow and/or deny restrictions at all. If such an entry 
>> is
>> found, attempt to authenticate the caller using the specified secret or 
>> key,
>> and if that passes, accept the connection, and use the name of the found
>> iax.conf entry as the connecting username.
>>
>> Em 11 de junho de 2010 16:22, Wagner <wagner em beetelecom.com.br> escreveu:
>>>
>>> Concordo com as alternativas dos amigos, vc também pode utilizar as 
>>> linhas
>>> permit e deny para liberar especificamente o IP deste seu ramal 100, se 
>>> o
>>> peers estiver em local fixo fica o IP,
>>> Poderia também utilizar nome ao inves de numero na criação do Peer e
>>> definir o 100 no dialpan direto, não sei se em soluções baseadas em Free 
>>> PBX
>>> isso é possivel, no asterisk puro dá , me corrijam se estiver errado.
>>>
>>> Att
>>> Wagner Penha
>>> Bee Telecom
>>>
>>> ----- Original Message -----
>>> From: Marcel - BrasilVox Telecom
>>> To: asteriskbrasil em listas.asteriskbrasil.org
>>> Sent: Friday, June 11, 2010 3:56 PM
>>> Subject: Re: [AsteriskBrasil] invasao
>>> Se o invasor está usando Brute Force em sua senha ** PS: "Mas acho
>>> improvável para uma senha de 20 digitos" **
>>> é fácil de localizar isto nos logs do asterisk, verifica em:
>>> /var/log/asterisk/messages ou /var/log/asterisk/full ;; caso não os 
>>> tenha
>>> é necessário ativar os logs!
>>>
>>> Para ativar os logs:
>>> /etc/asterisk/logger.conf
>>> full => notice,warning,error,debug,verbose
>>>
>>> NOTICE[2708] chan_iax2.c: Host xxx.xxx.xxx.xxx failed MD5 authentication
>>> for '100' ....
>>>
>>> terá muitas linhas com este dizer, se for sempre originado do mesmo IP ;
>>> bloqueie o IP dele através de iptables:
>>>
>>> Marcel
>>> BrasilVox Telecom
>>> www.brasilvox.com.br / voip.brasilvox.com.br
>>> 019 3323 0051
>>>
>>> Em 11/6/2010 15:38, Alex Tavares Faiotto escreveu:
>>>
>>> Eles podem estar usando um scan, que bate todos os digtos de senha a
>>> descobrir a nova, a maneira e voce pearo ip de quem esta invadindo e
>>> bloquear o mesmo.
>>>
>>> Em 1 de junho de 2010 15:34, jose <jasanchez em terra.com.br> escreveu:
>>>>
>>>>
>>>> Boa tarde a todos
>>>> Tive probelmas com invasao , entraram no meu asterisk e fizeram ligaçao
>>>> para slovenia, egito, etc...., bom após ter descoberto, isso se deu em 
>>>> um
>>>> ramal numero 100 , esse ramal é IAX2, bom o que eu fiz mudei a senha do
>>>> ramal coloquei com 20 numeros e letras, e para minha surpresa
>>>> invadiram novamente. com o mesmo numero de ramal. Nao posso fechar esse
>>>> ramal , alugume sabe me dizer de que forma estao descobrindo a minha
>>>> senha?o unico jeito que vejo é que essa pessoa descobriu a senha de 
>>>> root, ou
>>>> tem outra maneira?
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>>> - Suporte técnico local qualificado e gratuito
>>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>>> _______________________________________________
>>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência 
>>>> de
>>>> Redes.
>>>> http://www.encontrovoipcenter.com.br
>>>> ______________________________________________
>>>> Lista de discussões AsteriskBrasil.org
>>>> AsteriskBrasil em listas.asteriskbrasil.org
>>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>>
>>>
>>> _______________________________________________
>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>> - Suporte técnico local qualificado e gratuito
>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>> _______________________________________________
>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência 
>>> de
>>> Redes.
>>> http://www.encontrovoipcenter.com.br
>>> ______________________________________________
>>> Lista de discussões AsteriskBrasil.org
>>> AsteriskBrasil em listas.asteriskbrasil.org
>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>>
>>> ________________________________
>>>
>>> _______________________________________________
>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>> - Suporte técnico local qualificado e gratuito
>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>> _______________________________________________
>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência 
>>> de
>>> Redes.
>>> http://www.encontrovoipcenter.com.br
>>> ______________________________________________
>>> Lista de discussões AsteriskBrasil.org
>>> AsteriskBrasil em listas.asteriskbrasil.org
>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>>
>>> ________________________________
>>>
>>> No virus found in this incoming message.
>>> Checked by AVG - www.avg.com
>>> Version: 8.5.437 / Virus Database: 271.1.1/2931 - Release Date: 06/11/10
>>> 06:35:00
>>>
>>> ________________________________
>>> Estou utilizando a versão gratuita de SPAMfighter para usuários 
>>> privados.
>>> Foi removido 1854 emails de spam até hoje.
>>> Os usuários pagantes não têm esta mensagem nos seus emails.
>>> Experimente SPAMfighter de graça agora!
>>>
>>> _______________________________________________
>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>> - Suporte técnico local qualificado e gratuito
>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>> _______________________________________________
>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência 
>>> de
>>> Redes.
>>> http://www.encontrovoipcenter.com.br
>>> ______________________________________________
>>> Lista de discussões AsteriskBrasil.org
>>> AsteriskBrasil em listas.asteriskbrasil.org
>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>>
>> _______________________________________________
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> - Suporte técnico local qualificado e gratuito
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> _______________________________________________
>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
>> Redes.
>> http://www.encontrovoipcenter.com.br
>> ______________________________________________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de 
> Redes.
> http://www.encontrovoipcenter.com.br
> ______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>



--------------------------------------------------------------------------------


_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de 
Redes.
http://www.encontrovoipcenter.com.br
______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 



Mais detalhes sobre a lista de discussão AsteriskBrasil