Asterisk gekapert

[LateRunner]

Hallo,
ich glaubs nicht. plötzlich geht shutdown und reboot bei meiner Linux Kiste nicht mehr: Statt reboot meldet die Kiste: "Fuck can´t find kmalloc()."

Suche im Netz: ==> You've been rooted and had a rootkit installed -- time to reinstall the system and keep it up to date security-wise this time. Oh, and it's bad netiquette to request answers via private e-mail, because then others who have this problem won't be able to see them.
------------------------------------------------------------------------------
Suche auf dem Recher in /vat/tmp/.hu/mole lauter dubioses: u.a.

Welcome to the futute !
This is the new shit . THE MOLE does the job for you . hacking just
becamed easy. All rights reserved to sMiF ( [email protected]> )
® 2003 for 2004

CHANGES:
- Updated the grabbb exploit with the latest grabbb2.x
- Removed some bugs detected to the first version "rooter"
- Now you can use the scanner more than once in the same time from
the same server . Removed killall madscan line
- Added killing all possibles zombie process line
- Added lastest bincodes
- A larger range of vulnerabilities
- Addes the last release of bruteforce for Linux & BSDs
- BRUTE_DELAY set to 100000
- Set timeout port scanner at 3 for faster servers
- New SMB_HEADER protocol caught
- Buffer bug removed for faster conections and low timeouts
- Removed some fork errors (thanks to SkyFon for taking that garbage out)

Bdi Bdi That's All Folks ! Live to scan , not scan to live : )))
=== support channel #sMiF ===

Sehr interessant, Mein System scheint gekapert worden zu sein.

Werde Linux neu installieren, alle unnötigen ports schließen. Kennt jemand solche Sicherheitsprobleme mit Linux????? Bisher hatte ich geglaubt Linux sei sicher und jetzt das !!!

VG Laterunner

 

[mvoetter]

Sehr interessant, Mein System scheint gekapert worden zu sein.

Too bad!

Werde Linux neu installieren, alle unnötigen ports schließen.

Schützt du Asterisk nicht durch eine Firewall?

Kennt jemand solche Sicherheitsprobleme mit Linux?????

Solche Sicherheitslücken sind allgemein bekannt. Da hilft nur wachsam sein und das System (mit Patches) möglichst up-to-date halten. :?

Bisher hatte ich geglaubt Linux sei sicher und jetzt das !!!

Sicher ist, dass nichts sicher ist. Hinter Linux & Co. stecken auch nur Menschen. 8)

 

[knitter]

Ich denke, dass sehr oft geglaubt wird, dass für den Betrieb von Asterisk auf einer Linux-Kiste (oder auch auf anderen Maschinen) irgendwelche Ports auf dem device dsl0 aufgemacht werden müssen.
Dies ist definitiv nicht der Fall
Reißt hier keine unnötigen Sicherheitslücken auf!
Und wenn ihr schon von außen auf die Asterisk-Kiste zugreifen wollt, dann macht das über einen VPN-Tunnel.. In der c´t 9/2005 gab´s eine sehr gute Anleitung, wie man einen Zugang mit OpenVPN realisiert.

Gruß

Harry

 

[sion]

Werde Linux neu installieren, alle unnötigen ports schließen.

Schützt du Asterisk nicht durch eine Firewall?

Meinst du mit "Asterisk" den ganzen Rechner? Da sollten freillig so viele Ports wie möglich zu sein, aber der Asterisk braucht ja selbst ein paar offen (5000:5060), oder?!
Kann ich die irgendwie schützen? (Natürlich will ich noch erreichbar sein...)

Gruß

 

[knitter]

Auf den internen Schnittstellen, über die Dein Asterisk-Rechner von Deinem Netz aus erreichbar sein soll, müssen diese Ports offen sein.
Auf der Schnittstelle, die auf Deinen VoIP-Provider zeigt brauchst Du keine offenen Ports, da auf diesen Schnittstellen Dein Asterisk sich ja wie ein Client verhält.

Das gilt für alle Serverdienste, die Du ausschließlich in Deinem Netz anbietest. Nur wenn Serverdienste vom Internet aus erreichbar sein sollen, müssen die entsprechenden Ports auf der externen Schnittstelle natürlich geöffnet werden.

Du willst ja schließlich Deinen Asterisk nicht anderen Leuten im Internet als Telefonzentrale zur Verfügung stellen, oder???

Gruß

Harry

 

[rollo]

Ganz so einfach ist es denn doch nicht. Asterisk benötigt für die Verbindung in die Aussenwelt ein paar portforwardings. Zumindest einen SIP Port und je nach Konfiguration diverse RTP Ports. Es sei denn man macht nur IAX2, dann klappt es auch ohne.

jo

 

[sion]

Genau, ein paar Ports müssen nämlich offen sein - und somit kann man immer über den Asterisk einbrechen (zumindest, wenn man einen entsprechenden Fehler im * findet...). Wäre also nicht ganz verkehrt ihn in eine DMZ einzusperren.
Darf ich eigentlich SIP-Anfragen auf meinen Provider beschränken (z.B. *.sipgate.de)? Wenn ich die RTP-Ports nur dafür zulasse, kann ich vermutlich nur noch mit dem Festnetz telefonieren, weil sonst die Ton-Daten nicht ankommen, oder?! Andererseits sollte es reichen, die RTP-Ports auf UDP zu beschränken, über die kann man sowieso nicht so einfach einbrechen

Gruß & Danke, Sion

 

[rajo]

@LateRunner: Was für ein Linux hattest Du verwendet?
Grundsätzlich gilt: ein Rechner ist nur so sicher, wie man ihn macht -- wenn man sich Mühe gibt, kann auch ein Windows recht sicher sein

Probleme könnten u.a. auch sein, dass zu viele sonstige Services offen sind: Apache, MySQL, ssh -- bei letzterem reicht z.B. auch ein schwaches Benutzerpasswort und schon ist hat man Zugriff auf das System. Und wenn man erstmal drin ist und ne shell hat ....

Je nach Distribution laufen da ja tausende Dienste, die man u.U. noch nichtmal alle auf dem System braucht.

 

[funky]

rajo hat Recht!

Vor jeden Rechner gehört eine Firewall - z.B. ein stinknormaler Router, der mittlerweile für unter 50 EUR zu bekommen ist.

Dann nur die Ports "öffnen", die du auch wirklich brauchst, keinen unnötigen Kram. Wie kommst du auf die Idee, dass der * daran schuld ist. Was liefen noch für Dienste drauf?

Sonst, wenn du SSH oder ähnliches brauchst, mach ein Portforwarding an deinem Router auf eine hohe Portnummer, z.B. kannst du die Abbildung

Port 55022 -> Port 22 benutzen, wenn du SSH maskieren willst.
Die meisten Scanner gehen nicht so hoch.

 

[LateRunner]

Hallo,
ja muß,zugeben der Rechner war sperrangelweit auf, weil ich nicht noch zusätzlich mit Portrestrictions kämpfen wollte. Interessant für mich ist aber dass es keine 24 h dauerte bis sich das zeugs auf meinen Rechner gesetzt hatte. Asterisk soll ja einfach nur in der Ecke stehen, und eigentlich will ich mich möglichst überhaupt nicht darum kümmern. Jedenfalls jetzt wird alles dichtgemacht, abgesichert und geloggt. Bin ja froh, dass ich das so schnell gesehen habe.

Meine Windowskiste hat mir noch keiner so umgedreht.

Welchen Virenscanner benutzt ihr? ist fprot ok?

VG

LateRunner

 

[ecco]

Welchen Virenscanner benutzt ihr? ist fprot ok?

Für Linux: keinen, für Windows: inzwischen G-Data-Antivirenkit in seiner letzten Version. Das scannt mit Bitdefender und KAV (ich glaube Kaspersky) Enginge. Bis dato ist mir (wissentlich) noch kein Virus entgangen, dafür hatte ich aber auch schon ein paar mal Fehlalarme. Zuletzt am 25.05. wegen eines Plugins für Miranda IM, der jedoch am nächsten Tag behoben wurde.

Mit alten Versionen von F-Prot hatte ich zum Teil sehr schlechte Erfahrungen: Diverse Viren wurden zunächst übersehen; wenn ich in ein Verzeichnis mit Downloads (sprich: viele ZIP-Archive & Installer) war der Rechner erst einmal zwischen 5 und 15 Minuten nur noch mit sich selbst beschäftigt.
Im Augenblick läuft in einem Rechner-Pool, den ich betreue, noch F-Secure mit ähnlichen Problemen (verpasste Viren, ...). Insbesondere scheint F-Secure nicht in der Lage zu sein, sich als nicht-Administrator zu aktualisieren.

 

[LateRunner]

@funky
klar, Asterisk ist nicht Schuld. Linux auch nicht sondern natürlich der USER. Übrigens wurde ja auch nicht Asterisk sondern Linux gekapert.

Eigentlich wollte ich mit dem thread daraufhinweisen, wie schnell es geht, dass Rechner im NETZ (egal ob Linux oder Windows) gehackt oder gehijackt werden können (hier < 24h).

Als Windows user hat man da seine Vorkehrungen. Als Linuxer, der das ganze ohne Ahnung für Asterisk einsetzt, betritt man erst einmal sicherheitsstrategisches Neuland. Deshalb die Warnung an alle. Es geht schneller als man denkt. Das (offene) Netz ist sehr gefährlich.

Also Firewall ein und keine DMZ bei VOIP.

Und falls jemand das Problem kriegt reboot oder shutdown geht nicht mehr: Nicht ignorieren sondern sofort Linux neu installieren.

VG

Laterunner

 

[sion]

Also Firewall ein und keine DMZ bei VOIP.

Firewall ist klar. Aber warum sollte es nicht günstiger sein, den * in eine DMZ zu stellen?!
Asterisk ist ja nicht viel anders (zumindest in Verbindung mit SIP) als SSH, FTP und Konsorten: Ein von außen erreichbarer Server-Dienst! Und dieser kann bei vorhandenen Sicherheitslücken dazu mißbraucht werden, in das System reinzukommen.
Und plötzlich geht shutdown nicht mehr...

Oder sehe ich da was falsch?

 

[LateRunner]

zur Vollständigkeit:

hier die Beschreibung, was passiert war und wie man Abbhilfe schaffen kann. Stichword ist rootkit:

http://www.evoknow.com/contents/e-b...nux/dealing_with_rootkit_attacks_on_linux.pdf

VG

LateRunner