<div dir="ltr">Ola!<div><br></div><div>Existiu um caso uma vez que peguei uma invasão em um trixbox que existia na verdade cadastrado na base dois usuarios, um o admin e o outro era um usuario padrao, algo como trixbox, webuser, webadmin, algo do genero! Na qual era uma senha nao cadastrada na instalação mas vinha padrao no sistema, com senha padrao!</div>
<div>O engraçadinho viu esta vulneabilidade neste pabx e deitou e rolou!</div><div><br></div><div>Ve se não é o teu caso, checa se de fato só existe o usuario admin nesta interface web!</div><div><br></div><div>Da uma boa checada nos logs do apache!</div>
<div><br></div><div>Valeu</div></div><div class="gmail_extra"><br clear="all"><div>--<br>
Gian Nicodemus<br>
Analista de sistemas<br>
<a href="mailto:giannicodemus@gmail.com" target="_blank">giannicodemus@gmail.com</a></div>
<br><br><div class="gmail_quote">Em 16 de junho de 2014 14:50, <a href="mailto:suporte@apexmic.com.br">suporte@apexmic.com.br</a> <span dir="ltr"><<a href="mailto:suporte@apexmic.com.br" target="_blank">suporte@apexmic.com.br</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Boa tarde a todos da lista,<br>
<br>
estou narrando uma situação muito pitoresca que me ocorreu esta madrugada.<br>
<br>
Do nada nenhuma ligação se completava, fui checar o sip show registry e<br>
vi que o meu login da operadora voip havia sido mudado para um endereço<br>
estranho<br>
<br>
o registro estava saindo por uma pseudo operadora de fora do pais, logo<br>
qualquer ligação que vc tentava sair do Elastix nao completava. Mudou<br>
usuario, senha e operadora. Por sorte como minhas ligacoes saem com um<br>
código diferente, seja quem for que tentou, caiu do cavalo.<br>
<br>
Alem de terem mudado a operadora, logaram com o primeiro ramal real da<br>
lista de ramais do elastix e tentaram ligar para um numero que<br>
possivelmente era de Sao Paulo, com varios prefixos, sem sucesso. Seja<br>
quem for, fez o acesso para mudar estes dados pela interface web do<br>
elastix, mas sem ataque de força bruta, pois o fail2ban teria barrado-o.<br>
A conexão que fizeram na interface web era de uma conexão 3G do Egito, e<br>
as tentativas de ligação por volta das 5 da manhã para esse suposto<br>
numero de sao paulo, partiram de um IP do Brasil.<br>
<br>
Não existe registros de falha de acesso no asterisk, no ssh ou da<br>
interface web, só ha um registro de conexão da interface web com um IP<br>
do egito (possivelmente mascarado)<br>
<br>
Seja quem fez que fez isso, não fez ligação das minhas operadoras, mas<br>
por via das dúvidas troquei a senha de todos os ramais, ssh, interface<br>
web e das operadoras. É a primeira vez que isso me acontece.<br>
<br>
A pergunta é: alguém passou por isso? Essa senha do admin da interface<br>
web só eu sei, logo o vazamento da senha seria impossível pois não<br>
anotei em canto algum, não faço acesso pela interface web a quase um mês<br>
de fora da minha rede, mesmo que fosse, o IP mudou na última quinta-feira.<br>
<br>
Não achei rastros no log do ssh (se ele tivesse logado e tentado apagar<br>
os rastros eu saberia, pois quando alguém loga no ssh eu recebo uma<br>
notificação na mesma hora) Toda ligação que passa, o elastix grava o audio.<br>
<br>
Como eu disse, é uma situação bem pitoresca, pois o atacante não tentou<br>
ligar das operadoras que tenho no elastix.<br>
<br>
_______________________________________________<br>
<br>
WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu<br>
conhecimento na tecnologia e portfólio Khomp. Próxima edição<br>
em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS.<br>
Garanta a sua vaga e saiba mais em: <a href="http://www.workoffee.com.br" target="_blank">www.workoffee.com.br</a><br>
_______________________________________________<br>
ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP .<br>
Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Banco de Canais Analógicos – Appliance Asterisk<br>
Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
</blockquote></div><br></div>