mein 12voip account wurde gehackt !!! was tun

[George99]

@George99
wie meinest du das?

Die genaue Schwachstelle kenne ich nicht, ich benutze selbst auch kein Asterisk. Aber ich zitiere mal von dus.net:

vom 04.06.2010

Sehr geehrte Kunden,

leider ist es in letzter Zeit vermehrt vorgekommen, dass Hacker sich auf ungeschützte Asterisk-Telefonanlagen Zugriff verschafft und darüber eine Vielzahl von internationalen Telefongesprächen geführt haben.

Wir möchten Sie hiermit darauf aufmerksam machen, Ihre Asterisk-Anlagen nochmals und genauestens zu überprüfen, um somit einem Mißbrauch vorzubeugen. Zusätzlich können Sie im Kundenbereich über die sogenannte Redlist ausländische Rufnummern sperren, sowie die Sicherheitstrennung für Gespräche ins weltweite Telefonnetz auf ein Minimum reduzieren. Eine regelmäßige Überprüfung des Guthabenstandes Ihres Accountkontos im Kundenbereich, sowie Ihrer Logfiles im Asterisk helfen zusätzlich, eventuellen Mißbrauch frühzeitig zu erkennen.

Bitte bleiben Sie stets wachsam.

Ihr dus.net Team

 

[noway0815]

Angriffe auf Asterisk Server

Es scheint so als waeren die asterisk-jaeger verstaerkt unterwegs ist. Der hier versucht es massive bei meinem Asterisk-Server: http://www.ip-adress.com/map/Map_of...ur_in_France/72f0636c243c1920de64184e5e3684d6
:
:
'"anon anon" <sip:[email protected]>' failed for '93.13.43.203' - No matching peer found
'"anon anon" <sip:[email protected]>' failed for '93.13.43.203' - No matching peer found
'"anon anon" <sip:[email protected]>' failed for '93.13.43.203' - No matching peer found
'"anon anon" <sip:[email protected]>' failed for '93.13.43.203' - No matching peer found
:
:
was kann man dagegen machen und waere es nicht moeglich dem Dieb/Ar... eine lektion zu erteilen indem man seine IP Hackt und ihm der platte formatiert
.

Wie auch immer Nach dem Letzten Angriff habe ich folgedes getan:
1. fuer die peers lange und komplexe passwoerte gewaehlt
2. vor jedem Anruf muss man ein passwort eingeben. So dass wenn jemand sich peeren kann, dann braucht er um schaden anzurichten noch ein passwort.

3. Ein sehr effektiver Schutz waere das port zu aender auf dem asterisk hoert. das wurde ich auch machen sobald ich etwas zeit habe.

Welche Schutzmassnahmen kan man noch vornehmen???

Grusse
Noway

 

[cmmehl]

Welche Schutzmassnahmen kan man noch vornehmen???

In diesem (sehr langen) thread gibt's noch ein paar nuetzliche tips.

Wie haste das denn angestellt mit dem PW vor waehlen? Ich glaube, mir waer das in der praxis zu laestig.

Chris

 

[noway0815]

Wie haste das denn angestellt mit dem PW vor waehlen? Ich glaube, mir waer das in der praxis zu laestig.
Chris

Es mag sein, dass es etwas laestig ist, aber ist eine Huerde die sehr sehr sehr schwer zu uebrwenden ist. Und so geht das:

[outgoing]
exten => _0123X.,1,authenticate(password)
exten => _0123X.,n,Dial(SIP/${EXTEN},45,tT)
exten => _0123X.,n,Hangup()

und wie ich sehe versucht er es immer noch und ist jetzt bei 27xx:
[Jun 12 12:27:33] NOTICE[2148]: chan_sip.c:15642 handle_request_register: Registration from '"anon anon" <sip:[email protected]>' failed for '93.13.43.203' - No matching peer found
:
:
[Jun 12 12:44:27] NOTICE[2148]: chan_sip.c:15642 handle_request_register: Registration from '"anon anon" <sip:[email protected]>' failed for '93.13.43.203' - No matching peer found

wie ist das jetzt. Kann man damit nicht zur Polizei gehen und anzeige erstatten???

Grusse
Noway

 

[cmmehl]

fail2ban und gut is (siehe o.a. thread). Kannst es ja probieren mit der polizei, aber ich wuerde mir da nichts von versprechen, diese kiddies nutzen sicher faked IPs.

Good luck
Chris

 

[informerex]

Kann man damit nicht zur Polizei gehen und anzeige erstatten???

können schon, nur ob das was bringt.
Die Anzeige wird bestimmt wegen "nicht öffentlichem Interesse" eingestellt, zumal wie du ja selbst "mitgeteilt" hast, der Angriff aus Frankreich (lt. IP kommt) ob dies der tatsächlich Standort ist, ist ja nicht gewiss. (Proxy)

 

[noway0815]

fail2ban und gut
Chris

was meinest du mit fail2ban ?

noway

 

[cmmehl]

Ausserdem:

... aber ist eine Huerde die sehr sehr sehr schwer zu uebrwenden ist

Das mag ja stimmen, aber das heisst implizit, dass du akzeptierst, dass der kerl sich ueberhaupt schon mal in deinem asterisk rumtreiben kann.

Das waere mir ein unertraeglicher gedanke - wehret den anfaengen!
Chris

 

[noway0815]

Das waere mir ein unertraeglicher gedanke - wehret den anfaengen!
Chris

Sehe Pkt 1 und 2 dort werden die Anfaenge gewehret

 

[cmmehl]

was meinest du mit fail2ban

Ausser dem oben bereits genannten thread kannst du auch mal diesen hier anschauen.

Ideal ist wohl fail2ban zusammen mit iptables, wenn man die auf seinem vserver bearbeiten darf. Mit der denyhost-logik ist es wohl lahmer, aber imho gewaehrt das schon, mit den andern sicherheitsmassnahmen gekoppelt, einen ausreichenden schutz.

Auf jeden fall verhindert es erstmal den eintritt in den asterisk, und damit auch das telefonieren. Mir waere es zu laestig, vor jedem anruf ein PW eingeben zu muessen ...

Chris

 

[noway0815]

iptables -I INPUT -p udp -s 93.13.43.203 --dport 5060 -j REJECT
iptables -I INPUT -p udp -s 93.13.43.203 --dport 4569 -j REJECT
iptables -I INPUT -p tcp -s 93.13.43.203 --dport 5060 -j REJECT
iptables -I INPUT -p tcp -s 93.13.43.203 --dport 4569 -j REJECT

iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- 203.43.13-93.rev.gaoland.net anywhere tcp dpt:sip reject-with icmp-port-unreachable
REJECT tcp -- 203.43.13-93.rev.gaoland.net anywhere tcp dpt:iax reject-with icmp-port-unreachable
REJECT udp -- 203.43.13-93.rev.gaoland.net anywhere udp dpt:iax reject-with icmp-port-unreachable
REJECT udp -- 203.43.13-93.rev.gaoland.net anywhere udp dpt:sip reject-with icmp-port-unreachable

und gut ist

noway

 

[alvoip]

Ich habe meinen bei Topnetworks gehosteten Asterisk wegen dieser %&?$§-Hacker abschalten müssen. Die ganzen Versuche wären mir ja eigentlich egal. Erstens habe ich starke Passwörter und zweitens wäre der Schaden auf meinem Voipstunt-Account, den die Hacker abtelefonieren könnten, im einstelligen Eurobereich.

Aber ich hatte bereits ca. 20 Euro Schaden, da durch den Zusatztraffic die 20 GB, die bei meinem Topnetworks-Account inkludiert sind, stark überschritten wurden, und zum Apotheker-Einzelpreis nachverrechnet wurden.

Hat jemand irgendwo eine Anleitung für absolute Deppen, wie man dieses Fail2ban ohne iptables, also mit der deny-Methode installiert? Ich find immer nur hier einen Happen, dort einen Happen, werde daraus aber nicht klug. Kann jemand, der es gemacht hat, Punkt für Punkt schreiben, wie das geht?

Dann noch eine Frage: Hören diese Hackerskripts auf mit dem Durchprobieren, wenn sie erfolgreich waren? Dann wäre es doch eine Idee einen Account mit user 100 und Passwort 100 anzulegen, der aber nirgendwo hintelefonieren darf. Der Hacker hätte das wohl nach kürzester Zeit geknackt. Aber hört er dann auf weiter zu probieren?

 

[woprr]

Hören diese Hackerskripts auf mit dem Durchprobieren,

Ich fürchte die Dümmeren senden auch bei DROP oder REJECT-Antworten weiter.
Musst Dir also einen hoster ohne Volumentarif suchen.