[AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.
suporte em apexmic.com.br
suporte em apexmic.com.br
Segunda Junho 16 14:50:19 BRT 2014
Boa tarde a todos da lista,
estou narrando uma situação muito pitoresca que me ocorreu esta madrugada.
Do nada nenhuma ligação se completava, fui checar o sip show registry e
vi que o meu login da operadora voip havia sido mudado para um endereço
estranho
o registro estava saindo por uma pseudo operadora de fora do pais, logo
qualquer ligação que vc tentava sair do Elastix nao completava. Mudou
usuario, senha e operadora. Por sorte como minhas ligacoes saem com um
código diferente, seja quem for que tentou, caiu do cavalo.
Alem de terem mudado a operadora, logaram com o primeiro ramal real da
lista de ramais do elastix e tentaram ligar para um numero que
possivelmente era de Sao Paulo, com varios prefixos, sem sucesso. Seja
quem for, fez o acesso para mudar estes dados pela interface web do
elastix, mas sem ataque de força bruta, pois o fail2ban teria barrado-o.
A conexão que fizeram na interface web era de uma conexão 3G do Egito, e
as tentativas de ligação por volta das 5 da manhã para esse suposto
numero de sao paulo, partiram de um IP do Brasil.
Não existe registros de falha de acesso no asterisk, no ssh ou da
interface web, só ha um registro de conexão da interface web com um IP
do egito (possivelmente mascarado)
Seja quem fez que fez isso, não fez ligação das minhas operadoras, mas
por via das dúvidas troquei a senha de todos os ramais, ssh, interface
web e das operadoras. É a primeira vez que isso me acontece.
A pergunta é: alguém passou por isso? Essa senha do admin da interface
web só eu sei, logo o vazamento da senha seria impossível pois não
anotei em canto algum, não faço acesso pela interface web a quase um mês
de fora da minha rede, mesmo que fosse, o IP mudou na última quinta-feira.
Não achei rastros no log do ssh (se ele tivesse logado e tentado apagar
os rastros eu saberia, pois quando alguém loga no ssh eu recebo uma
notificação na mesma hora) Toda ligação que passa, o elastix grava o audio.
Como eu disse, é uma situação bem pitoresca, pois o atacante não tentou
ligar das operadoras que tenho no elastix.
Mais detalhes sobre a lista de discussão AsteriskBrasil