Hacker in meinem Asterisk Server

[beowulf]

Fail2Ban funktioniert ganz gut, aber ist reaktiv. Meine Erfahrung ist leider die, wenn erst mal jemand richtig "haemmert", dann macht er/sie weiter, egal ob geblockt oder nicht. Mein Asterisk hat dann zwar keine Eintraege mehr in der CLI und in den Logfiles, aber meine Bandbreite wird trotzdem beansprucht. Jedenfalls war das meine Erfahrung im Februar von den PlusServer Attacken.

allowguest=no kann ich nicht setzen, weil dann mein Trunk nicht geht. Mein Provider leitet keine Nebenstellen weiter, wenn auf registry umgestellt wird. Ist eben so. Fail2Ban hielt mir zwar die Attacken weitgehend vom Hals, aber dann versuchten "Gaeste" irgendwelche Nummern anzurufen. Gelang den "Gaesten" nicht, weil selbst ich nicht einfach so raustelephonieren kann. ;-)

Letztlich entschloss ich micht dazu, jeden Traffic auf die Asterisk UDP/TCP Ports zu blocken und nur die Provider zuzulassen (Whitelist). Endgeraete haben entweder eine fixe IP und werden auf die Whitelist gesetzt. Mobile Endgeraete koennen sich nur mittels VPN einloggen. Mal sehen, ob das nun sicherer ist.

-- niko

 

[xrated]

allowguest=no kann ich nicht setzen, weil dann mein Trunk nicht geht. Mein Provider leitet keine Nebenstellen weiter, wenn auf registry umgestellt wird.

Im Trunk einfach insecure=invite setzen?

 

[hpc-dietzi]

Mein Asterisk wurde gehackt !!!

Hilfe !!!

Ich wollte heute telefonieren und da kam so ne Ansage von 1&1, dass die Telefonie geperrt wäre. Darauf hin hab ich beim Kundenservice angerufen und dort wurde mir mitgeteilt, dass die Nummern gesperrt wurden, da der Verdacht auf Missbrauch vorliegt. Folgende Rufnummern wurden ständig angewählt:
+37165779512
+37127971452
+22455004000
+37181000671
+381608013823
+381666013024
und ähnliche.

Recherchen bei Google brachten mich auf diese Seiten:
http://www.facebook.com/permalink.p...comment_id=1707512&offset=0&total_comments=11
http://www.facebook.com/pages/V-I-P-Numbers/276928399055580

Passiert ist das ganze am 13.07.2012 von 22:50 Uhr bis 23:40 Uhr und mir sind dadurch Kosten in Höhe von 290€ entstanden.

1&1 sagte mir, dass der Angriff direkt über meinen Asterisk passiert ist.

Nun meine Frage an euch:
Welche Möglichkeiten hab ich IP-Adressen oder ähnliches des Angreifers heraus zu finden?

Ich warte momentan noch auf eine Rückantwort von meinem Anwalt. Ich hoffe, ich hab da Chancen.....

 

[rollo]

Beitrag hierher verschoben und mit diesem Post wieder hochgeholt.

jo

 

[hpc-dietzi]

Ich bin schon ein Stück weiter. Die Angreifer-IP ist 37.8.123.106. Ich schreib jetzt ne Mail an den Abuse von ripe.net

Erste Recherchen haben ergeben, dass der Angreifer von hier kommt: Palestinian Territory (Provider: Handara)

 

[rmh]

Glück gehabt, dass 1&1 so schnell reagiert hat deinen Aschluss gesperrt hat. Hast du die ausgenutze Sicherheitslücke schon gefunden?

 

[hpc-dietzi]

Fehler war bei mir zum einen, dass ich guest=no nicht gesetzt hatte und zum anderen, dass ich dial im default-context definiert hatte

 

[IEEE]

Dann brauchst Du meiner Meinung nach keinen Anwalt. Sei froh das Du mit 290 davon kommst.

 

[hpc-dietzi]

Dennoch ist es einen Versuch wert. Ich warte noch auf die Antwor vom Abus des Providers. Sollte ich da die Kontakt-Informationen raus bekommen, dann versucht mein Anwalt, den Angreifer zu "schnappen"; so die Worte von meinem Anwalt.

 

[KunterBunter]

Das glaubst auch nur du, dass der Angreifer in Gaza City sitzt. Dort steht doch nur der benutzte Rechner. Spar dir das Geld für den Anwalt.

 

[schufti]

seit zwei Jahren Asterisk auf nen "anderen" Port gelegt und seitdem ist Ruhe in der Box.
Asterisks ist auch mit drei Anbietern registriert, die auch kein Problem damit haben.
Ebensowenig Probleme mit Clients.
Und direkte IP-Anrufe von Unbekannten will ja sowieso keiner ...

 

[henry90]

Richtig!
Kann auch ich nur empfehlen.
Siehe auch #224 und #225.

 

[xrated]

Voodoofon lässt sowas leider nicht zu

 

[rmh]

Keine Ahnung was voodoofon ist, aber der SIP Port ist nicht in Stein gemeißelt! Wenn eine Software oder ein Dienstanbieter Probleme damit hat, sollte nachgebessert werden. Denn wenn man beispielsweise mehrere SIP-Endgeräte hinter NAT verwendet, ist es Gang und Gäbe mit verschiedenen SIP-Ports zu arbeiten.
Mein priv. Asterisk läuft ebenfalls auf einem anderen Port.

 

[xrated]

Voodoofon = Vodafon
Mich wundert eh gerade das Asterisk noch geht wenn ich auf dem Router die Ports (SIP,RTP) nicht mehr forwarde (NAT). Brauchts das überhaupt nicht wenn alle Telefone im LAN sind?
In der sip.conf habe ich auch net=yes und externhost=dyndnsadresse.
Wie muss ich das alles korrekt einstellen?

Bei Vodafon benutze ich eben die SIP Accounts.

 

[rentier-s]

Wenn Du den allseits bekannten TSP meinst, schreib ihn bitte auch so. (=> Beitrag bearbeiten)

Deine Frage zur NAT Konfiguration gehört nicht hier her. Beispiele dazu gibt es genug, ansonsten mach bitte ein eigenes Thema auf.

 

[xrated]

Naja hier gings ja um Sicherheit. Das ganze läuft bei mir auch ohne NAT Einstellungen in Router und Asterisk, allerdings war ich überrascht das ich dann immer noch Loginversuche von anderen gesehen habe obwohl im Router nichts forgewardet wird. Also umgeht SIP irgendwie das ganze.
Habe jetzt auch den Port umstellen können, läuft sogar noch
Wenn der Port geändert ist muss man auch insecure=port bzw. (alt) very einstellen oder?

Bringt es eigentlich was nochmal einen extra User (für Auth-Id) zu verwenden? (dann friend statt peer)
Sollte man das Domain Setting benutzen?

 

[hpc-dietzi]

Ich war gestern auf der Polizei und habe erstmal Anzeige gegen unbekannt aufgegeben. Hab denen auch gleich die IP und die angerufenen Nummern mitgeteilt. Jetzt geht das ganze zum LKA und die versuchen da was raus zu bekommen. Wenn die nen Namen haben, dann kann da auch mein Anwalt was machen.

Grüße Dietzi

 

[mipo]

Hi Dietzi,

haks als Lehrgeld ab! - Glaubst Du wirklich im Ernst, dass da etwas bei rauskommt? Und wenn, wer sagt denn, dass der PC im Gazastreifen oder sonstwo in der Ecke nicht per Trojaner ferngesteuert wird.

 

[hpc-dietzi]

Die Hoffnung stirbt zuletzt Ich kann nur hoffen und warten.