[Frage] bin gehackt worden / Wie die IP des Angreifers herausfinden?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

seifrei

Neuer User
Mitglied seit
5 Jul 2011
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Vor ein paar Wochen habe ich meine Firewall aufgemacht um mit meinem Smartphone ein paar Tests durchzuführen. Davor habe ich über meinen Asterisk-Server nur per VPN telefoniert. Leider habe ich die Firewall danach nicht mehr geschlossen und bin nun gehackt worden. Der Schaden ist noch unbekannt.

Nun meine Frage:
In den /var/log/asterisk/messages kann ich erkennen wenn jemand an einer Verbindung scheitert. Dort steht dann z.b. folgendes:
Code: 
... NOTICE[22918] chan_sip.c: Registration from '"3788"<sip:[email protected]>' failed for '202.136.113.239' - No matching peer found

oder
Code: 
[Jun 30 17:47:12] NOTICE[22918] chan_sip.c: Registration from '"Boris" <sip:[email protected]>' failed for '93.47.3.33' - Wrong password

Soweit so gut, aber wo kann ich nachschauen wann sich wer, und von wo, erfolgreich registriert hat. Oder anders gesagt ich würde gern die IP von demjenigen haben, der über meine Leitung zu einem bestimmten Zeitpunkt telefoniert hat.

Könnt ihr mir bitte helfen?!

V.G.
bp

P.S. ich nutze Asterisk als Gateway zu meinem ISDN Anschluss und aus der Datei /var/log/asterisk/cdr-csv/Master.csv kann ich die IP nicht erkennen, dort sind nur Einträge wie folgt enthalten:
Code: 
"","bp","0037259122000","meine-telefone","""Boris"" <bp>","SIP/Boris-00000093","CAPI/ISDN1#02/0037259122000-9a","Dial","CAPI/ISDN1/0037259122000","2011-07-03 01:09:58","2011-07-03 01:10:03","2011-07-03 01:10:08",10,5,"ANSWERED","DOCUMENTATION","1309648198.323",""

ohne das dort die IP steht
 
Und was nutzt dir die IP? Wenn du ganz schnell Anzeige erstattet und die Polizei/Staatsanwaltschaft den Fall sehr fix bearbeitet, kannst du den Verursacher herausfinden. Falls der Hacker nicht stundenlang via 0900 telefoniert hat, dürfte der Schaden so gering sein, dass sich die Aktion nicht lohnt.
 
Danke für die Antwort.
Nun ja, für den Fall dass ich Anzeige erstatte, wäre es schon gut die IP des Verursachers mitteilen zu können, oder nicht?
Soweit ich bis jetzt beurteilen kann wurde ungefähr 3000 Minuten nach Estland telefoniert, das sind mal so über den Daumen gepeilt 300 EUR.

Wenn ein unberechtigter meine EC-Karte missbraucht, habe ich eine gewisse Chance, dass die Bank den Schaden erstattet. Wie ist das wenn ein Unberechtigter Kosten über meine Leitung produziert? Muss ich da auf jeden Fall für den Schaden aufkommen?
 
Das glaub ich kaum, denn -- um bei Deinem Beispiel zu bleiben -- wenn Du einen ungeschützten Geldautomaten aufstellst, der das Geld einfach so ausspuckt, wird sich der Anbieter auch sagen, tja, nicht unser Bier...

Der Fehler lag ja nicht in deren Infrastruktur, sondern an Deinem Endpunkt.
Somit -> selbst schuld.
 
So ganz ungeschützt war der Asterisk nun auch nicht. Man musste schon ein Passwort eingeben um telefonieren zu können. Aber ich denke du hast wahrscheinlich recht, denn der Tel.-Anbieter ist nicht dafür verantwortlich was bei mir in der Wohnung passiert.

Glaube aber inzwischen die IP gefunden zu haben. Habe einfach die Firewall noch mal geöffnet und diesmal aber auch erlaubte Verbindungen geloggt. Hat nicht lange gedauert und schon wieder ein Anruf nach Estland. Reicht das als Beweis für die Polizei?

Aber vielleicht weiß doch jemand, wie man beim Asterisk loggen kann wenn sich einer erfolgreich registriert, bisher sehe ich nur wenn der Versuch fehlschlägt
 
Zuletzt bearbeitet:
Zeichne doch das Gespräch auf und veröffentliche es im Internet. Selbstjustiz würde ich sagen.
 
Als ich meinen Asterisk auf Port 5060 laufen hatte, hatte ich auch andauernd so etwas. Außer, dass deswegen meine Internetleitung (DSL2000) überlastet war, ist aber nichts passiert. Seit ich einen anderen Port benutze, ist wieder Ruhe. Der Angreifer müßte erstmal Usernamen und Paßwort erraten, um Schaden anrichten zu können. Das wird er vermutlich nicht schaffen. Schlimmer wäre es, wenn er an die sip.conf kommen würde. Dank eingetragenem Limit (1 ¤) beim Telefonanbieter dürfte der Schaden aber überschaubar bleiben.

Eine Anzeige bei der Polizei wird nicht viel bringen, wenn der Angriff aus dem Ausland kommt.
---Edit---
Dass man Anzeige erstattet, wenn ein Schaden entstanden ist, bzw. wenn Rechnungen kommen, sollte natürlich klar sein.
 
Zuletzt bearbeitet:
Hallo Gemeinde,

ich hatte das ganze im letzten Jahr (michselbstouten) im beruflichen Rahmen, Schaden knapp 2tsd ¤.

Wenn du ganz schnell Anzeige erstattet und die Polizei/Staatsanwaltschaft den Fall sehr fix bearbeitet, kannst du den Verursacher herausfinden.
Zum Vergrößern anklicken....
Es gibt seit einiger Zeit die EUROPOL - die haben meinen und 39.999 Fälle einer bulgarischen Bande zuordnen können UND GEFASST.

Eine Anzeige bei der Polizei wird nicht viel bringen, wenn der Angriff aus dem Ausland kommt.
Zum Vergrößern anklicken....
s.o. Allerdings gilt ganz klar - niemand wird 39 Cent hinterherjagen, bei privaten Anschlüssen gilt dies analog. Ansonsten kann solch ein Hackingangriff relativ leicht unter Wirtschaftskriminalität laufen und dann wird anscheinend auch besser ermittelt. (oder anders gesagt - es wird so ermittelt das das Ende ein Erfolg ist)

Allgemein gilt :

"Wer die Gefahr beherrscht, trägt auch deren Risiken" --> Du bist selber schuld wenn Dein Gerät "nur" mit einem einachen Passwort versehen ist und man so oft man mag das Passwort versuchen darf.

Ganz wichtig

Vor Dir und anderen gab es hier einige sehr wichtige Diskussionen und HOWTOs die mit dem damaligen NonPlusUltra "user=10 pwd=10" aufgeräumt haben und auch digium selber hat die IMHO "7 Regeln" erstellt - schau unbedingt hier (mein HOWTO zur *-Sicherheit) oder hier, denn :

Seit ich einen anderen Port benutze, ist wieder Ruhe. Der Angreifer müßte erstmal Usernamen und Paßwort erraten, um Schaden anrichten zu können.
Zum Vergrößern anklicken....
Ist sehr gefährlich.

Man kann die Versuche begrenzen - Fail2Ban - man kann IPs aussperren (es sei denn Du hast Freunde in China) - man kann "strong passwords" setzen und auch sehr interessant - man kann die leitung begrenzen (call-limit)

Lest bitte die Grundlagen anstatt das Rad neu zu erfinden, nachfolgende Ratsuchende werden dann nicht über Halbweisheiten stolpern.

LG Stefan
 
Zuletzt bearbeitet:
Es gibt seit einiger Zeit die EUROPOL - die haben meinen und 39.999 Fälle einer bulgarischen Bande zuordnen können UND GEFASST.
Zum Vergrößern anklicken....

Und habt ihr euer Geld wieder bekommen, oder seid ihr auf dem finanziellen Schaden sitzen geblieben?
 
Und habt ihr euer Geld wieder bekommen,
Zum Vergrößern anklicken....

"Unser Geld" haben wir ja nicht wiederbekommen können, da wir es nie gezahlt haben - wir haben schlichtweg in diesem Fall die Zahlung der strittigen Summe verweigert, 2 der 3 dubiosen Firmen haben sich zu diesem Thema nie wieder gemeldet, die 3. sendet noch heute Mahnbriefe an unseren RA. Das interessante der "FASSUNG" ist ja nichtdas Geld zurückzubekommen, dafür muss es ja jemand haben und das wird ja eh nie passieren. Interessant ist der Regressanspruch - in meinem Fall unseres Versicherers (wir haben eine "Vertrauensschadenversicherung" die genau einen solchen Fall reguliert).

Ich bin sehr zufrieden damit das es (ausnahmsweise) mal jemanden im öffentlichen System gab der wirklich jemand anderen fassen konnte - das genügt mir aktuell ;)

Kurzum --> Anzeige bei der örtlichen Polizei HILFT und ist NICHT sinnlos.

LG Stefan
 
wir haben schlichtweg in diesem Fall die Zahlung der strittigen Summe verweigert, 2 der 3 dubiosen Firmen haben sich zu diesem Thema nie wieder gemeldet,
Zum Vergrößern anklicken....

Das heißt, in deinem Fall hat der Hacker irgendwelche kostenpflichtigen Nummern über deinen Anschluss angerufen, z.B. 0900 Nummern, und die Betreiber dieser Angebote stellen dann ihren Service in Rechnung? In diesem Fall würde ich auch einfach nicht zahlen.

In meinem Fall hat der Hacker von meinem Anschluss überwiegend ins Estländische Mobilfunknetz telefoniert. Wem schulde ich jetzt den Betrag, meinem Telefonanbieter oder dem Betreiber des estländischen Mobilfunknetzes, oder beiden?
 
Kommt drauf an.
EInfaches Bsp. - Telekom ist Dein Anbieter und der Hacker nutzt die Telekom zum anrufen von..=> Du schuldest der TKom

Telekom ist Dein Anbieter und der Hacker ruft (da Asterisk das so kennt) mit 01027 was weiss ich was an - dann ist es die 01027.

Ruf doch einfach Deinen Anbieter an - so hab ich das gemacht (habe aber auch Geschäftskundensupport und war mit dem Ansprechpartner per Du - der gab mir da den einen oder anderen Tipp..)

LG Stefan
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 453 (Mitglieder: 46, Gäste: 407)

Neueste Beiträge

Statistik des Forums

Themen
246,057
Beiträge
2,245,244
Mitglieder
373,483
Neuestes Mitglied
helpme12
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück