[AsteriskBrasil] Situacao Pitoresca de invasão no Elastix.

[Gian Nicodemus]

Ola!

Existiu um caso uma vez que peguei uma invasão em um trixbox que existia na
verdade cadastrado na base dois usuarios, um o admin e o outro era um
usuario padrao, algo como trixbox, webuser, webadmin, algo do genero! Na
qual era uma senha nao cadastrada na instalação mas vinha padrao no
sistema, com senha padrao!
O engraçadinho viu esta vulneabilidade neste pabx e deitou e rolou!

Ve se não é o teu caso, checa se de fato só existe o usuario admin nesta
interface web!

Da uma boa checada nos logs do apache!

Valeu

--
Gian Nicodemus
Analista de sistemas
giannicodemus em gmail.com


Em 16 de junho de 2014 14:50, suporte em apexmic.com.br <suporte em apexmic.com.br
> escreveu:

> Boa tarde a todos da lista,
>
> estou narrando uma situação muito pitoresca que me ocorreu esta madrugada.
>
> Do nada nenhuma ligação se completava, fui checar o sip show registry e
> vi que o meu login da operadora voip havia sido mudado para um endereço
> estranho
>
> o registro estava saindo por uma pseudo operadora de fora do pais, logo
> qualquer ligação que vc tentava sair do Elastix nao completava. Mudou
> usuario, senha e operadora.  Por sorte como minhas ligacoes saem com um
> código diferente, seja quem for que tentou, caiu do cavalo.
>
> Alem de terem mudado a operadora, logaram com o primeiro ramal real da
> lista de ramais do elastix e tentaram ligar para um numero que
> possivelmente era de Sao Paulo, com varios prefixos, sem sucesso. Seja
> quem for, fez o acesso para mudar estes dados pela interface web do
> elastix, mas sem ataque de força bruta, pois o fail2ban teria barrado-o.
> A conexão que fizeram na interface web era de uma conexão 3G do Egito, e
> as tentativas de ligação por volta das 5 da manhã para esse suposto
> numero de sao paulo, partiram de um IP do Brasil.
>
> Não existe registros de falha de acesso no asterisk, no ssh ou da
> interface web, só ha um registro de conexão da interface web com um IP
> do egito (possivelmente mascarado)
>
> Seja quem fez que fez isso, não fez ligação das minhas operadoras, mas
> por via das dúvidas troquei a senha de todos os ramais, ssh, interface
> web e das operadoras.  É a primeira vez que isso me acontece.
>
> A pergunta é: alguém passou por isso? Essa senha do admin da interface
> web só eu sei, logo o vazamento da senha seria impossível pois não
> anotei em canto algum, não faço acesso pela interface web a quase um mês
> de fora da minha rede, mesmo que fosse, o IP mudou na última quinta-feira.
>
> Não achei rastros no log do ssh (se ele tivesse logado e tentado apagar
> os rastros eu saberia, pois quando alguém loga no ssh eu recebo uma
> notificação na mesma hora) Toda ligação que passa, o elastix grava o audio.
>
> Como eu disse, é uma situação bem pitoresca, pois o atacante não tentou
> ligar das operadoras que tenho no elastix.
>
> _______________________________________________
>
> WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu
> conhecimento na tecnologia e portfólio Khomp. Próxima edição
> em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS.
> Garanta a sua vaga e saiba mais em: www.workoffee.com.br
> _______________________________________________
> ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia
> IP .
> Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Banco de Canais Analógicos  – Appliance Asterisk
>  Acesse www.aligera.com.br
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20140616/21309232/attachment.htm