[AsteriskBrasil] Invasão a Asterisk

Paulo Silva pook86 em gmail.com
Sexta Junho 8 16:11:33 BRT 2018 

Boa tarde, pessoal, tudo bem?
Esse tipo de invasão vem via web, mude a porta de HTTPS, desative a porta
de HTTP, se for invadido novamente rode esse Script


#!/bin/bash
INICIO=`date +%d/%m/%Y-%H:%M:%S`
LOG=/var/log/invazao`date +%d-%m-%Y`.txt
echo " " >> $LOG
echo " " >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " PARAR HTTPD em $INICIO" >> $LOG
service httpd stop >> $LOG
FINAL=`date +%d/%m/%Y-%H:%M:%S`
echo " PARAR HTTPD em $FINAL" >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " " >> $LOG
echo " " >> $LOG
echo " " >> $LOG
echo " " >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " REMOVER A2BILLING E VTIGERCRM em $INICIO" >> $LOG
rm /var/www/html/a2billing /var/lib/a2billing /var/run/a2billing
/usr/share/a2billing /var/www/html/admin/modules/fw_ari -Rf >> $LOG
FINAL=`date +%d/%m/%Y-%H:%M:%S`
echo " REMOVER A2BILLING E VTIGERCRM em $FINAL" >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " " >> $LOG
echo " " >> $LOG
##############################
INICIO=`date +%d/%m/%Y-%H:%M:%S`
LOG=/var/log/invazao`date +%d-%m-%Y`.txt
echo " " >> $LOG
echo " " >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " TROCA PORTA DE ACESSO WEB DE 443 PARA 55060 em $INICIO" >> $LOG
sed -i 's/443/55060/g' /etc/httpd/conf.d/ssl.conf >> $LOG
FINAL=`date +%d/%m/%Y-%H:%M:%S`
echo " TROCA PORTA DE ACESSO WEB DE 443 PARA 55060 em $FINAL" >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " " >> $LOG
echo " " >> $LOG
echo " " >> $LOG
echo " " >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " REMOVER CONTEXTO FROM-INTERNAL ERRADO $INICIO" >> $LOG
sed -i '/thankuohoh/d' /etc/asterisk/extensions_custom.conf >> $LOG
FINAL=`date +%d/%m/%Y-%H:%M:%S`
echo " REMOVER CONTEXTO FROM-INTERNAL ERRADO em $FINAL" >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " " >> $LOG
echo " " >> $LOG
##############################
INICIO=`date +%d/%m/%Y-%H:%M:%S`
LOG=/var/log/invazao`date +%d-%m-%Y`.txt
echo " " >> $LOG
echo " " >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " REINICIAR O ASTERISK em $INICIO" >> $LOG
service asterisk restart >> $LOG
FINAL=`date +%d/%m/%Y-%H:%M:%S`
echo " REINICIAR O ASTERISK em $FINAL" >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " " >> $LOG
echo " " >> $LOG
echo " " >> $LOG
echo " " >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " INICIAR HTTPD em $INICIO" >> $LOG
service httpd start >> $LOG
FINAL=`date +%d/%m/%Y-%H:%M:%S`
echo " INICIAR HTTPD em $FINAL" >> $LOG
echo "|--------------------------------------------" >> $LOG
echo " " >> $LOG
echo " " >> $LOG
##############################

Abraços

Em 30 de maio de 2018 21:45, Fabiano Souza de Azevedo <fbnsouza at gmail.com>
escreveu:

> Prezado(a);
>
> Outra camada de segurança seria proteger o contexto onde é permitido fazer
> ligações internacionais, limitar ramais que podem fazer DDI, colocar senha
> antes de discar, definir horários.
>
>
> Em 29 de maio de 2018 20:44, Welington F.J <welingtonfj at gmail.com>
> escreveu:
>
>> Olá, Boa noite.
>>
>>  Primeiramente uma boa politica de senhas ajudaria, nada de senha
>> sequencias, pequenas.
>>
>> outro ponto, seu fail2ban esta funcionando realmente? minha politica no
>> fail2ban é errou a senha 1 vez block.
>>
>> Eu não uso issabel desenvolvi minha solução em cima do asterisk.
>>
>>
>> ativa o modo debug
>>
>> sip set debug on
>>
>>
>>
>> Em 29 de maio de 2018 19:57, Samuel . <lista.asterisk.brasil at outlook.com>
>> escreveu:
>>
>>> No seu relatório CDR, qual ramal realizou estas ligações?
>>>
>>>
>>>
>>>
>>>
>>> Att,
>>>
>>> Samuel .
>>>
>>>
>>> ------------------------------
>>> *De:* asteriskbrasil-bounces at listas.asteriskbrasil.org <
>>> asteriskbrasil-bounces at listas.asteriskbrasil.org> em nome de Iure da
>>> Luz <iurekamai at gmail.com>
>>> *Enviado:* terça-feira, 29 de maio de 2018 18:56
>>> *Para:* asteriskbrasil at listas.asteriskbrasil.org
>>> *Assunto:* [AsteriskBrasil] Invasão a Asterisk
>>>
>>> Pessoal, peguei várias tentativas de efetuar chamada aqui no nosso
>>> Issabel, o fail2ban não conseguiu bloquear, e não existe indicação de
>>> nenhum ramal ou extensão autenticada, consegui pegar o IP de origem atraves
>>> do tcpdump e fiz o bloqueio no firewall, mas fica a pergunta, alguém sabe
>>> como barrar?
>>>
>>> Segue o log:
>>>
>>>
>>> https://pastebin.com/z14YfgPk
>>>
>>>
>>>
>>> <http://www.eletronluz.com.br/>
>>>
>>>
>>> *Eletron Luz - Soluções em Tecnologia*
>>>
>>> Rua José Magalhães, 151A - Centro
>>> Boa Vista - RR - Brasil
>>>
>>> Tel:  95 3224-7751
>>>
>>> Fax: 95 3623-7751
>>> www.eletronluz.com.br
>>>
>>>
>>>
>>> *Iure da Luz*
>>>
>>> Diretor Comercial
>>>
>>>
>>> Skype: iuredaluz
>>> Fixo:     95 3198-8700
>>>
>>> Móvel:  95 99902-3303
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>
>>
>>
>> --
>> Welington F.J
>> BSD User: 51392
>> MSN: welingtonfj at gmail.com
>> flames > /dev/null (powered by Irado)
>> "O profissional que conhece e sabe como funciona nunca se desespera!"
>> Drogas ? Pra que? Já Tenho Meu Windows!!
>> " ...e serás instável, trará o caos, destruição, dor e sofrimento a
>> todos. Haverá choro e ranger de dentes"  Apocalipse sobre Windows
>> "Malandro é o cavalo marinho que se finge de peixe pra não puxar carroça".
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>
>
>
>
> --
>
> *At.*
>
> *  Fabiano Souza de Azevedo*
>
> *  fbnsouza at gmail.com <fbnsouza at gmail.com>*
>
> 28 9.9919-4536
>
> [image: Imagem inline 1]
>
> Acesse... <http://www.fk-tech.com.br>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>



-- 
Paulo Silva
Analista de Sistemas - Telecom
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20180608/94f6e84d/attachment-0001.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: image.png
Type: image/png
Size: 17654 bytes
Desc: not available
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20180608/94f6e84d/attachment-0001.png>

Mais detalhes sobre a lista de discussão AsteriskBrasil