[Frage] bin gehackt worden / Wie die IP des Angreifers herausfinden?

[seifrei]

Vor ein paar Wochen habe ich meine Firewall aufgemacht um mit meinem Smartphone ein paar Tests durchzuführen. Davor habe ich über meinen Asterisk-Server nur per VPN telefoniert. Leider habe ich die Firewall danach nicht mehr geschlossen und bin nun gehackt worden. Der Schaden ist noch unbekannt.

Nun meine Frage:
In den /var/log/asterisk/messages kann ich erkennen wenn jemand an einer Verbindung scheitert. Dort steht dann z.b. folgendes:

... NOTICE[22918] chan_sip.c: Registration from '"3788"<sip:[email protected]>' failed for '202.136.113.239' - No matching peer found

oder

[Jun 30 17:47:12] NOTICE[22918] chan_sip.c: Registration from '"Boris" <sip:[email protected]>' failed for '93.47.3.33' - Wrong password

Soweit so gut, aber wo kann ich nachschauen wann sich wer, und von wo, erfolgreich registriert hat. Oder anders gesagt ich würde gern die IP von demjenigen haben, der über meine Leitung zu einem bestimmten Zeitpunkt telefoniert hat.

Könnt ihr mir bitte helfen?!

V.G.
bp

P.S. ich nutze Asterisk als Gateway zu meinem ISDN Anschluss und aus der Datei /var/log/asterisk/cdr-csv/Master.csv kann ich die IP nicht erkennen, dort sind nur Einträge wie folgt enthalten:

"","bp","0037259122000","meine-telefone","""Boris"" <bp>","SIP/Boris-00000093","CAPI/ISDN1#02/0037259122000-9a","Dial","CAPI/ISDN1/0037259122000","2011-07-03 01:09:58","2011-07-03 01:10:03","2011-07-03 01:10:08",10,5,"ANSWERED","DOCUMENTATION","1309648198.323",""

ohne das dort die IP steht

 

[chked]

Und was nutzt dir die IP? Wenn du ganz schnell Anzeige erstattet und die Polizei/Staatsanwaltschaft den Fall sehr fix bearbeitet, kannst du den Verursacher herausfinden. Falls der Hacker nicht stundenlang via 0900 telefoniert hat, dürfte der Schaden so gering sein, dass sich die Aktion nicht lohnt.

 

[seifrei]

Danke für die Antwort.
Nun ja, für den Fall dass ich Anzeige erstatte, wäre es schon gut die IP des Verursachers mitteilen zu können, oder nicht?
Soweit ich bis jetzt beurteilen kann wurde ungefähr 3000 Minuten nach Estland telefoniert, das sind mal so über den Daumen gepeilt 300 EUR.

Wenn ein unberechtigter meine EC-Karte missbraucht, habe ich eine gewisse Chance, dass die Bank den Schaden erstattet. Wie ist das wenn ein Unberechtigter Kosten über meine Leitung produziert? Muss ich da auf jeden Fall für den Schaden aufkommen?

 

[Schneewambo]

Das glaub ich kaum, denn -- um bei Deinem Beispiel zu bleiben -- wenn Du einen ungeschützten Geldautomaten aufstellst, der das Geld einfach so ausspuckt, wird sich der Anbieter auch sagen, tja, nicht unser Bier...

Der Fehler lag ja nicht in deren Infrastruktur, sondern an Deinem Endpunkt.
Somit -> selbst schuld.

 

[seifrei]

So ganz ungeschützt war der Asterisk nun auch nicht. Man musste schon ein Passwort eingeben um telefonieren zu können. Aber ich denke du hast wahrscheinlich recht, denn der Tel.-Anbieter ist nicht dafür verantwortlich was bei mir in der Wohnung passiert.

Glaube aber inzwischen die IP gefunden zu haben. Habe einfach die Firewall noch mal geöffnet und diesmal aber auch erlaubte Verbindungen geloggt. Hat nicht lange gedauert und schon wieder ein Anruf nach Estland. Reicht das als Beweis für die Polizei?

Aber vielleicht weiß doch jemand, wie man beim Asterisk loggen kann wenn sich einer erfolgreich registriert, bisher sehe ich nur wenn der Versuch fehlschlägt

 

[Chatty]

Zeichne doch das Gespräch auf und veröffentliche es im Internet. Selbstjustiz würde ich sagen.

 

[Tippfehler]

Als ich meinen Asterisk auf Port 5060 laufen hatte, hatte ich auch andauernd so etwas. Außer, dass deswegen meine Internetleitung (DSL2000) überlastet war, ist aber nichts passiert. Seit ich einen anderen Port benutze, ist wieder Ruhe. Der Angreifer müßte erstmal Usernamen und Paßwort erraten, um Schaden anrichten zu können. Das wird er vermutlich nicht schaffen. Schlimmer wäre es, wenn er an die sip.conf kommen würde. Dank eingetragenem Limit (1 ¤) beim Telefonanbieter dürfte der Schaden aber überschaubar bleiben.

Eine Anzeige bei der Polizei wird nicht viel bringen, wenn der Angriff aus dem Ausland kommt.
---Edit---
Dass man Anzeige erstattet, wenn ein Schaden entstanden ist, bzw. wenn Rechnungen kommen, sollte natürlich klar sein.

 

[HobbyStern]

Hallo Gemeinde,

ich hatte das ganze im letzten Jahr (michselbstouten) im beruflichen Rahmen, Schaden knapp 2tsd ¤.

Wenn du ganz schnell Anzeige erstattet und die Polizei/Staatsanwaltschaft den Fall sehr fix bearbeitet, kannst du den Verursacher herausfinden.

Es gibt seit einiger Zeit die EUROPOL - die haben meinen und 39.999 Fälle einer bulgarischen Bande zuordnen können UND GEFASST.

Eine Anzeige bei der Polizei wird nicht viel bringen, wenn der Angriff aus dem Ausland kommt.

s.o. Allerdings gilt ganz klar - niemand wird 39 Cent hinterherjagen, bei privaten Anschlüssen gilt dies analog. Ansonsten kann solch ein Hackingangriff relativ leicht unter Wirtschaftskriminalität laufen und dann wird anscheinend auch besser ermittelt. (oder anders gesagt - es wird so ermittelt das das Ende ein Erfolg ist)

Allgemein gilt :

"Wer die Gefahr beherrscht, trägt auch deren Risiken" --> Du bist selber schuld wenn Dein Gerät "nur" mit einem einachen Passwort versehen ist und man so oft man mag das Passwort versuchen darf.

Ganz wichtig

Vor Dir und anderen gab es hier einige sehr wichtige Diskussionen und HOWTOs die mit dem damaligen NonPlusUltra "user=10 pwd=10" aufgeräumt haben und auch digium selber hat die IMHO "7 Regeln" erstellt - schau unbedingt hier (mein HOWTO zur *-Sicherheit) oder hier, denn :

Seit ich einen anderen Port benutze, ist wieder Ruhe. Der Angreifer müßte erstmal Usernamen und Paßwort erraten, um Schaden anrichten zu können.

Ist sehr gefährlich.

Man kann die Versuche begrenzen - Fail2Ban - man kann IPs aussperren (es sei denn Du hast Freunde in China) - man kann "strong passwords" setzen und auch sehr interessant - man kann die leitung begrenzen (call-limit)

Lest bitte die Grundlagen anstatt das Rad neu zu erfinden, nachfolgende Ratsuchende werden dann nicht über Halbweisheiten stolpern.

LG Stefan

 

[seifrei]

Es gibt seit einiger Zeit die EUROPOL - die haben meinen und 39.999 Fälle einer bulgarischen Bande zuordnen können UND GEFASST.

Und habt ihr euer Geld wieder bekommen, oder seid ihr auf dem finanziellen Schaden sitzen geblieben?

 

[HobbyStern]

Und habt ihr euer Geld wieder bekommen,

"Unser Geld" haben wir ja nicht wiederbekommen können, da wir es nie gezahlt haben - wir haben schlichtweg in diesem Fall die Zahlung der strittigen Summe verweigert, 2 der 3 dubiosen Firmen haben sich zu diesem Thema nie wieder gemeldet, die 3. sendet noch heute Mahnbriefe an unseren RA. Das interessante der "FASSUNG" ist ja nichtdas Geld zurückzubekommen, dafür muss es ja jemand haben und das wird ja eh nie passieren. Interessant ist der Regressanspruch - in meinem Fall unseres Versicherers (wir haben eine "Vertrauensschadenversicherung" die genau einen solchen Fall reguliert).

Ich bin sehr zufrieden damit das es (ausnahmsweise) mal jemanden im öffentlichen System gab der wirklich jemand anderen fassen konnte - das genügt mir aktuell

Kurzum --> Anzeige bei der örtlichen Polizei HILFT und ist NICHT sinnlos.

LG Stefan

 

[seifrei]

wir haben schlichtweg in diesem Fall die Zahlung der strittigen Summe verweigert, 2 der 3 dubiosen Firmen haben sich zu diesem Thema nie wieder gemeldet,

Das heißt, in deinem Fall hat der Hacker irgendwelche kostenpflichtigen Nummern über deinen Anschluss angerufen, z.B. 0900 Nummern, und die Betreiber dieser Angebote stellen dann ihren Service in Rechnung? In diesem Fall würde ich auch einfach nicht zahlen.

In meinem Fall hat der Hacker von meinem Anschluss überwiegend ins Estländische Mobilfunknetz telefoniert. Wem schulde ich jetzt den Betrag, meinem Telefonanbieter oder dem Betreiber des estländischen Mobilfunknetzes, oder beiden?

 

[HobbyStern]

Kommt drauf an.
EInfaches Bsp. - Telekom ist Dein Anbieter und der Hacker nutzt die Telekom zum anrufen von..=> Du schuldest der TKom

Telekom ist Dein Anbieter und der Hacker ruft (da Asterisk das so kennt) mit 01027 was weiss ich was an - dann ist es die 01027.

Ruf doch einfach Deinen Anbieter an - so hab ich das gemacht (habe aber auch Geschäftskundensupport und war mit dem Ansprechpartner per Du - der gab mir da den einen oder anderen Tipp..)

LG Stefan