Probleme piratage

[Mohaax]

Bonjour à tous,

Je suis vraiment dépasser car je me suis encore fait piraté mon serveur asterisk et je n'ai aucune idée de comment les hackers procedent

comme protection :

DROP udp -- anywhere anywhere udp dpt:sip (seulement mon ip internet fixe est autorisé)

comme mot de passe sur mes compte sip c'est du genre

M@vcOm@22@11@5@1

et ils arrivent encore a le pirater quelqu'un peut-il m'expliquer comment car je suis vraiment depasser


sip.conf

[general]
context=trunkinbound ; Default context for incoming calls
allowguest=no ; Allow or reject guest calls (default is yes)
allowoverlap=no ; Disable overlap dialing support. (Default is yes)
;allowtransfer=no ; Disable all transfers (unless enabled in peers or users)
;realm=mydomain.tld ; Realm for digest authentication
bindport=5060 ; UDP Port to bind to (SIP standard port is 5060)
bindaddr=0.0.0.0 ; IP address to bind to (0.0.0.0 binds to all)
srvlookup=yes ; Enable DNS SRV lookups on outbound calls
;domain=mydomain.tld ; Set default domain for this host
;pedantic=yes ; Enable checking of tags in headers,
;tos_sip=cs3 ; Sets TOS for SIP packets.
;tos_audio=ef ; Sets TOS for RTP audio packets.
;tos_video=af41 ; Sets TOS for RTP video packets.
;maxexpiry=3600 ; Maximum allowed time of incoming registrations
;minexpiry=60 ; Minimum length of registrations/subscriptions (default 60)
;defaultexpiry=120 ; Default length of incoming/outgoing registration
;t1min=100 ; Minimum roundtrip time for messages to monitored hosts
;notifymimetype=text/plain ; Allow overriding of mime type in MWI NOTIFY
;checkmwi=10 ; Default time between mailbox checks for peers
;buggymwi=no ; Cisco SIP firmware doesn't support the MWI RFC
;vmexten=voicemail ; dialplan extension to reach mailbox sets the
disallow=all ; First disallow all codecs
allow=ulaw ; Allow codecs in order of preference
allow=gsm
mohinterpret=default
mohsuggest=default
language=en ; Default language setting for all users/peers
relaxdtmf=yes ; Relax dtmf handling
trustrpid = no ; If Remote-Party-ID should be trusted
sendrpid = yes ; If Remote-Party-ID should be sent
progressinband=no ; If we should generate in-band ringing always
;useragent=Asterisk PBX ; Allows you to change the user agent string
;promiscredir = no ; If yes, allows 302 or REDIR to non-local SIP address
;usereqphone = no ; If yes, ";user=phone" is added to uri that contains
dtmfmode = rfc2833 ; Set default dtmfmode for sending DTMF. Default: rfc2833
;compactheaders = yes ; send compact sip headers.
videosupport=no ; Turn on support for SIP video. You need to turn this on
;maxcallbitrate=384 ; Maximum bitrate for video calls (default 384 kb/s)
callevents=yes ; generate manager events when sip ua
alwaysauthreject=yes ; When an incoming INVITE or REGISTER is to be rejected,
;g726nonstandard = yes ; If the peer negotiates G726-32 audio, use AAL2 packing
;matchexterniplocally = yes ; Only substitute the externip or externhost setting if it matches
;regcontext=sipregistrations
rtptimeout=60 ; Terminate call if 60 seconds of no RTP or RTCP activity
;rtpholdtimeout=300 ; Terminate call if 300 seconds of no RTP or RTCP activity
;rtpkeepalive=<secs> ; Send keepalives in the RTP stream to keep NAT open
;sipdebug = yes ; Turn on SIP debugging by default, from
;recordhistory=yes ; Record SIP history by default
;dumphistory=yes ; Dump SIP history at end of SIP dialogue
;allowsubscribe=no ; Disable support for subscriptions. (Default is yes)
;subscribecontext = default ; Set a specific context for SUBSCRIBE requests
notifyringing = yes ; Notify subscriptions on RINGING state (default: no)
notifyhold = yes ; Notify subscriptions on HOLD state (default: no)
limitonpeers = yes ; Apply call limits on peers only. This will improve
;t38pt_udptl = yes ; Default false
;register => 1234:password@mysipprovider.com
;registertimeout=20 ; retry registration calls every 20 seconds (default)
;registerattempts=10 ; Number of registration attempts before we give up
;externip = 192.168.1.1 ; Address that we're going to put in outbound SIP
;externhost=test.test.com ; Alternatively you can specify a domain
;externrefresh=10 ; How often to refresh externhost if
localnet=192.168.0.0/255.255.0.0; All RFC 1918 addresses are local networks
localnet=10.0.0.0/255.0.0.0 ; Also RFC1918
localnet=172.16.0.0/12 ; Another RFC1918 with CIDR notation
localnet=169.254.0.0/255.255.0.0 ;Zero conf local network
nat=yes ; Global NAT settings (Affects all peers and users)
canreinvite=no ; Asterisk by default tries to redirect the
;directrtpsetup=yes ; Enable the new experimental direct RTP setup. This sets up
;rtcachefriends=yes ; Cache realtime friends by adding them to the internal list
;rtsavesysname=yes ; Save systemname in realtime database at registration
;rtupdate=yes ; Send registry updates to database using realtime? (yes|no)
;rtautoclear=yes ; Auto-Expire friends created on the fly on the same schedule
;ignoreregexpire=yes ; Enabling this setting has two functions:
;domain=mydomain.tld,mydomain-incoming
;domain=1.2.3.4 ; Add IP address as local domain
;allowexternaldomains=no ; Disable INVITE and REFER to non-local domains
;autodomain=yes ; Turn this on to have Asterisk add local host
;fromdomain=mydomain.tld ; When making outbound SIP INVITEs to
jbenable = yes ; Enables the use of a jitterbuffer on the receiving side of a
jbforce = no ; Forces the use of a jitterbuffer on the receive side of a SIP
jbmaxsize = 100 ; Max length of the jitterbuffer in milliseconds.
jbresyncthreshold = 1000 ; Jump in the frame timestamps over which the jitterbuffer is
jbimpl = fixed ; Jitterbuffer implementation, used on the receiving side of a SIP
jblog = no ; Enables jitterbuffer frame logging. Defaults to "no".
qualify=yes ; By default, qualify all peers at 2000ms
limitonpeer = yes ; enable call limit on a per peer basis, different from limitonpeers

sip-vicidial.conf

[IDTE]
disallow=all
allow=ulaw
type=friend
dtmfmode=rfc2833
context=trunkinbound
qualify=yes
insecure=very
nat=yes
allow=alaw
allow=g729
host=216.53.4.1



[8001]
username=8001
secret=M@zetm11@1@22@3@1513
accountcode=8001
callerid="8001" <3314>
mailbox=8001
context=default
type=friend
host=dynamic

Merci beaucoup pour votre aide.

[Mohaax]

Voici mon fichier d'extension (parametrer par defaut par l'application que j'utilise qui passe les appels predificif vicidial)
j'ai bien dans mon carrier

; VICIDIAL Carrier: IDTEUROPE - IDTEUROPE
exten => _933.,1,AGI(agi://127.0.0.1:4577/call_log)
exten => _933.,2,Dial(SIP/${EXTEN:1}@IDTEUROPE,,tTo)
exten => _933.,3,Hangup

933 pour la france donc comment font-ils pour appeler la somalie etc je suis vraiment perdu.

[root@go ~]# cat /etc/asterisk/extensions-vicidial.conf
; WARNING- THIS FILE IS AUTO-GENERATED BY VICIDIAL, ANY EDITS YOU MAKE WILL BE LOST
TRUNKloop = IAX2/ASTloop:test@127.0.0.1:40569
TRUNKblind = IAX2/ASTblind:test@127.0.0.1:41569



; logging of all outbound calls from agent phones
[defaultlog]
exten => s,1,Answer
exten => s,n,AGI(agi-VDAD_inbound_calltime_check.agi,-----NO-----defaultlog-------------------------NO)
exten => s,n,Set(INVCOUNT=0)
exten => s,n,Background(sip-silence)
exten => s,n,WaitExten(20)


; hangup
exten => t,1,Playback(vm-goodbye)
exten => t,n,Hangup()
exten => i,1,Goto(s,4)
exten => i,n,Hangup()
; hangup
exten => h,1,DeadAGI(agi://127.0.0.1:4577/call_log--HVcauses--PRI-----NODEBUG-----${HANGUPCAUSE}-----${DIALSTATUS}-----${DIALEDTIME}-----${ANSWEREDTIME})

; custom dialplan entries
exten => _X.,1,AGI(agi-NVA_recording.agi,BOTH------Y---Y---Y)
exten => _X.,n,Goto(default,${EXTEN},1)




[vicidial-auto-external]
exten => h,1,DeadAGI(agi://127.0.0.1:4577/call_log--HVcauses--PRI-----NODEBUG-----${HANGUPCAUSE}-----${DIALSTATUS}-----${DIALEDTIME}-----${ANSWEREDTIME})

; Local Server: 62.210.113.214
exten => _062*210*113*214*.,1,Goto(default,${EXTEN:16},1)
exten => _062*210*113*214*.,2,Hangup()
exten => _**062*210*113*214*.,1,Goto(default,${EXTEN:18},1)
exten => _**062*210*113*214*.,2,Hangup()

; VICIDIAL Carrier: IDTEUROPE - IDTEUROPE
exten => _933.,1,AGI(agi://127.0.0.1:4577/call_log)
exten => _933.,2,Dial(SIP/${EXTEN:1}@IDTEUROPE,,tTo)
exten => _933.,3,Hangup

[vicidial-auto-internal]
exten => h,1,DeadAGI(agi://127.0.0.1:4577/call_log--HVcauses--PRI-----NODEBUG-----${HANGUPCAUSE}-----${DIALSTATUS}-----${DIALEDTIME}-----${ANSWEREDTIME})
; Voicemail Extensions:
exten => _85026666666666.,1,Wait(1)
exten => _85026666666666.,n,Voicemail(${EXTEN:14},u)
exten => _85026666666666.,n,Hangup()
exten => 8500,1,VoicemailMain
exten => 8500,2,Goto(s,6)
exten => 8500,3,Hangup()
exten => 8501,1,VoicemailMain(s${CALLERID(num)})
exten => 8501,2,Hangup()

; Prompt Extensions:
exten => 8167,1,Answer
exten => 8167,2,AGI(agi-record_prompts.agi,wav-----720000)
exten => 8167,3,Hangup()
exten => 8168,1,Answer
exten => 8168,2,AGI(agi-record_prompts.agi,gsm-----720000)
exten => 8168,3,Hangup()

; this is used for recording conference calls, the client app sends the filename
; value as a callerID recordings go to /var/spool/asterisk/monitor (WAV)
; Recording is limited to 1 hour, to make longer, just change the server
; setting ViciDial Recording Limit
; this is the WAV verison, default
exten => 8309,1,Answer
exten => 8309,2,Monitor(wav,${CALLERID(name)})
exten => 8309,3,Wait(3600)
exten => 8309,4,Hangup()
; this is the GSM verison
exten => 8310,1,Answer
exten => 8310,2,Monitor(gsm,${CALLERID(name)})
exten => 8310,3,Wait(3600)
exten => 8310,4,Hangup()

; agent alert extension
exten => 83047777777777,1,Answer
exten => 83047777777777,2,Playback(${CALLERID(name)})
exten => 83047777777777,3,Hangup()
; This is a loopback dial-around to allow for immediate answer of outbound calls
exten => _8305888888888888.,1,Answer
exten => _8305888888888888.,n,Wait(${EXTEN:16:1})
exten => _8305888888888888.,n,Dial(${TRUNKloop}/${EXTEN:17},,To)
exten => _8305888888888888.,n,Hangup()
; No-call silence extension
exten => _8305888888888888X999,1,Answer
exten => _8305888888888888X999,n,Wait(3600)
exten => _8305888888888888X999,n,Hangup()

[vicidial-auto-phones]
exten => h,1,DeadAGI(agi://127.0.0.1:4577/call_log--HVcauses--PRI-----NODEBUG-----${HANGUPCAUSE}-----${DIALSTATUS}-----${DIALEDTIME}-----${ANSWEREDTIME})

; Phones direct dial extensions:
exten => 2601,1,Dial(SIP/2601|60|)
exten => 2601,2,Goto(default,850266666666662601,1)
exten => 2602,1,Dial(SIP/2602|60|)
exten => 2602,2,Goto(default,850266666666662602,1)
exten => 2603,1,Dial(SIP/2603|60|)
exten => 2603,2,Goto(default,850266666666662603,1)
exten => 2604,1,Dial(SIP/2604|60|)
exten => 2604,2,Goto(default,850266666666662604,1)
exten => 2605,1,Dial(SIP/2605|60|)
exten => 2605,2,Goto(default,850266666666662605,1)
exten => 2606,1,Dial(SIP/2606|60|)
exten => 2606,2,Goto(default,850266666666662606,1)
exten => 2607,1,Dial(SIP/2607|60|)
exten => 2607,2,Goto(default,850266666666662607,1)
exten => 2608,1,Dial(SIP/2608|60|)
exten => 2608,2,Goto(default,850266666666662608,1)
exten => 2609,1,Dial(SIP/2609|60|)
exten => 2609,2,Goto(default,850266666666662609,1)
exten => 2610,1,Dial(SIP/2610|60|)
exten => 2610,2,Goto(default,850266666666662610,1)
exten => 2611,1,Dial(SIP/2611|60|)
exten => 2611,2,Goto(default,850266666666662611,1)
exten => 2612,1,Dial(SIP/2612|60|)
exten => 2612,2,Goto(default,850266666666662612,1)
exten => 2613,1,Dial(SIP/2613|60|)
exten => 2613,2,Goto(default,850266666666662613,1)
exten => 2614,1,Dial(SIP/2614|60|)
exten => 2614,2,Goto(default,850266666666662614,1)
exten => 2615,1,Dial(SIP/2615|60|)
exten => 2615,2,Goto(default,850266666666662615,1)
exten => 2616,1,Dial(SIP/2616|60|)
exten => 2616,2,Goto(default,850266666666662616,1)
exten => 2617,1,Dial(SIP/2617|60|)
exten => 2617,2,Goto(default,850266666666662617,1)
exten => 2618,1,Dial(SIP/2618|60|)
exten => 2618,2,Goto(default,850266666666662618,1)
exten => cccc,1,Dial(SIP/2619|60|)
exten => cccc,2,Goto(default,850266666666662619,1)
exten => 2620,1,Dial(SIP/2620|60|)
exten => 2620,2,Goto(default,850266666666662620,1)
exten => 2621,1,Dial(SIP/2621|60|)
exten => 2621,2,Goto(default,850266666666662621,1)
exten => 2622,1,Dial(SIP/2622|60|)
exten => 2622,2,Goto(default,850266666666662622,1)
exten => 2623,1,Dial(SIP/2623|60|)
exten => 2623,2,Goto(default,850266666666662623,1)
exten => 2624,1,Dial(SIP/2624|60|)
exten => 2624,2,Goto(default,850266666666662624,1)
exten => 2625,1,Dial(SIP/2625|60|)
exten => 2625,2,Goto(default,850266666666662625,1)
exten => 2626,1,Dial(SIP/2626|60|)
exten => 2626,2,Goto(default,850266666666662626,1)

[vicidial-auto]
exten => h,1,DeadAGI(agi://127.0.0.1:4577/call_log--HVcauses--PRI-----NODEBUG-----${HANGUPCAUSE}-----${DIALSTATUS}-----${DIALEDTIME}-----${ANSWEREDTIME})

include => vicidial-auto-internal
include => vicidial-auto-phones
include => vicidial-auto-external


; END OF FILE

[jean]

curieux, en effet... quelques idées:

un article à lire qui peut donner des idées: http://blog.tmcnet.com/blog/tom-keat...ost-mortem.asp

je pense qu'il faut partir des CDR et voir quels postes ont passé ces appels.

je vois deux façons: le firewall a un trou que tu n'as pas vu, ou le dialplan a un trou - ie, il reçoit un appel (pour logger un agent par exemple), et cet appel permet de renuméroter.

ne pas négliger les fraudes internes... ça arrive bien plus souvent qu'on ne le pense....

examiner les fichiers indiqués dans l'article, si il y a déjà eu piratage, peut être qu'il y a eu des trucs laissés discrètement pour permettre de revenir après

[Mohaax]

Salut,

ce qui est bizzare c'est que je ne vois rien dans les CDR

après par prudence je viens de changer le port ssh ainsi que le mot de passe on sait jamais


ce que j'aimerais enfaite dans mon fichier extension c'est de ne permettre que les appels vers la france je ne vois pas comment ils font pour passer des appels a l'etranger sachant que j'ai mon
; VICIDIAL Carrier: IDTEUROPE - IDTEUROPE
exten => _933.,1,AGI(agi://127.0.0.1:4577/call_log)
exten => _933.,2,Dial(SIP/${EXTEN:1}@IDTEUROPE,,tTo)
exten => _933.,3,Hangup

qui est censé laisser passer que les appels qui commence par 33.

Merci pour ton lien très intéressant.


Edit : je mise de plus en plus sur le piratage via le ssh car j'ai retrouver des commandes dans le cli du genre

dialplan reload
module reload app_voicemail.so
sip reload

alors que je n'ai jamais taper tout ça.

[_AK_]

si c'est par SSh alors ils ont effectivement certainement laissé une backdoor après le 1er piratage.
Si ta conf est bonne et que tu ne vois rien dans les logs c'est aussi possible qu'il y ai une seconde installation d'asterisk (ou autre) sur le serveur
tu devrais faire un tcpdump et analyser les trames de ton serveur.

peux tu aussi nous poster le résultat de
iptables -L
et
netstat -an

vu que ça a encore du te couter un bras, je serais toi je ferais un audit par une boite externe.

[Mohaax]

Salut,

Merci de ton aide,

[root@go ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- anywhere anywhere icmp echo-request
fail2ban-ASTERISK all -- anywhere anywhere
ACCEPT udp -- MONIP anywhere udp dpt:13544
ACCEPT udp -- MONIP anywhere udp dpt:13544
DROP tcp -- anywhere anywhere tcp dpt:http
DROP tcp -- anywhere anywhere tcp dpt:https
DROP tcp -- anywhere anywhere tcp dpt:mysql
DROP udp -- anywhere anywhere udp dpt:11534
DROP tcp -- anywhere anywhere tcp dpt:11534

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination

Chain fail2ban-ASTERISK (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-SSH (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere

[root@go ~]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:4577 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:41569 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:707 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:5038 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:2000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:822 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:40569 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:2655 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:42173 127.0.0.1:5038 ESTABLISHED
tcp 0 0 127.0.0.1:42174 127.0.0.1:5038 ESTABLISHED
tcp 0 0 127.0.0.1:45316 127.0.0.1:5038 TIME_WAIT
tcp 0 0 127.0.0.1:45315 127.0.0.1:5038 TIME_WAIT
tcp 0 1496 ipduserver:portssh MONIP:61186 ESTABLISHED
tcp 0 0 127.0.0.1:5038 127.0.0.1:42174 ESTABLISHED
tcp 0 0 127.0.0.1:5038 127.0.0.1:42173 ESTABLISHED
tcp 0 0 :::2655 :::* LISTEN
udp 0 0 0.0.0.0:13544 0.0.0.0:*
udp 0 0 0.0.0.0:2727 0.0.0.0:*
udp 0 0 0.0.0.0:4520 0.0.0.0:*
udp 0 0 0.0.0.0:816 0.0.0.0:*
udp 0 0 0.0.0.0:819 0.0.0.0:*
udp 0 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 127.0.0.1:54731 127.0.0.1:4569 ESTABLISHED
udp 0 0 0.0.0.0:37580 0.0.0.0:*
udp 0 0 0.0.0.0:4569 0.0.0.0:*
udp 0 0 127.0.0.1:52445 127.0.0.1:4569 ESTABLISHED
udp 0 0 0.0.0.0:41569 0.0.0.0:*
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:40569 0.0.0.0:*
udp 0 0 :::37000 :::*
udp 0 0 :::5353 :::*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 5116 @ISCSIADM_ABSTRACT_NAMESPACE
unix 2 [ ACC ] STREAM LISTENING 9601 @/tmp/fam-root-
unix 2 [ ACC ] STREAM LISTENING 9566 /var/run/fail2ban/fail2ban.sock
unix 2 [ ACC ] STREAM LISTENING 9388 /tmp/.font-unix/fs7100
unix 2 [ ACC ] STREAM LISTENING 9973 /var/run/avahi-daemon/socket
unix 2 [ ACC ] STREAM LISTENING 6926 @/var/run/hald/dbus-y657Xmb1fl
unix 2 [ ACC ] STREAM LISTENING 5100 @ISCSID_UIP_ABSTRACT_NAMESPACE
unix 2 [ ] DGRAM 1577 @/org/kernel/udev/udevd
unix 2 [ ] DGRAM 6934 @/org/freedesktop/hal/udev_event
unix 13 [ ] DGRAM 5840 /dev/log
unix 2 [ ACC ] STREAM LISTENING 5781 /var/run/audispd_events
unix 2 [ ACC ] STREAM LISTENING 49435311 /var/run/asterisk/asterisk.ctl
unix 2 [ ACC ] STREAM LISTENING 6925 @/var/run/hald/dbus-54EhJ8NiSx
unix 2 [ ACC ] STREAM LISTENING 6470 /var/run/dbus/system_bus_socket
unix 2 [ ACC ] STREAM LISTENING 6565 /var/run/pcscd.comm
unix 2 [ ACC ] STREAM LISTENING 6598 /var/run/acpid.socket
unix 2 [ ACC ] STREAM LISTENING 9126 /var/lib/mysql/mysql.sock
unix 3 [ ] STREAM CONNECTED 50307902 /var/lib/mysql/mysql.sock
unix 3 [ ] STREAM CONNECTED 50307901
unix 3 [ ] STREAM CONNECTED 50307873 /var/lib/mysql/mysql.sock
unix 3 [ ] STREAM CONNECTED 50307872
unix 3 [ ] STREAM CONNECTED 50307865 /var/lib/mysql/mysql.sock
unix 3 [ ] STREAM CONNECTED 50307864

Effectivement 1000$ pour sur la journée d'hier j’étais tranquille depuis un mois environ pourtant ...
en tout cas si le changement de port ssh est le password ne corrige rien il faudra faire un audit
(j'ai enfaite plusieurs serveur c'est des serveurs d'appels predictifs) au pire si sa recommence peut être qu'il faudra que je refasse ces mesures de sécurités mais en réinstallant l'os pour être sur qu'aucun backdoor ne traîne.)

j'ai aussi penser à une deuxième instance d'asterisk qui serait peut être lancer.
en tout cas tu as le resultats de mes commandes (j'ai du coup encore changer le port sip au cas ou)

[jean]

- pour le ssh, verifie le history du bash (commande history) - tu pourras peut être y voir des commandes inconnues - n'hesite pas augmenter sa taille (google)

- sinon, développe un petit script qui compte le nombre de minutes d'appels sur les dernieres X minutes, eventuellement par destination, et qui te fait un mail en cas de dépassement anormal -

aahh... je réflechis en tapant (je suis pas crs....) tu avais dit ne pas avoir de trace des appels.... peux tu vérifier à nouveau Master.csv (dans var/log/asterisk/cdr-csv si je n m'abuse)

aussi, peux tu essayer de changer le port de ssh - c'est assez efficace (attention à pas t'enfermer dehors !) et activer les jails ssh de fail2ban

[Mohaax]

Bonjour à tous,

sur l'un des serveurs piraté j'ai retrouver cette ligne

Manager 'cron' logged on from 193.136.194.20

hors cette ip du portugal ne m'appartient pas qu'est-ce que le manager cron ?


merci.

edit : je viens de voir que c'est un manager je ne sais pas a quoi il sert il est sur le port 5038 et il etait en bind 0.0.0.0 j'ai mis du coup en 127.0.0.1 pour plus qu' ils sois accessible de l'exterieur mon piratage pouvais-t-il provenir de la ?


merci

[jean]

le manager est une sorte d'equivalent à la console asterisk, mais pour donner l'accès à d'autres programmes. il est alors possible de passer toutes les commandes que l'on veut, si l'on a les bonnes permissions. il doit y avoit une entree [vron] dans ton manager.conf - si tu veux totalement le désactiver, il faut enabled=no et webenabled=no - cela pose aussi la question de la configuration de ton firewall - j'suis désolé, ufw je maitrise pas, mais manifestement une @ portugaise l'a traversé, a passé le nat, et a atteri sur ton serveur.... un test à faire, faire un nmap (google) depuis une ip externe, vers ton @ ip publique

mais pour réellement comprendre, j'aimerais savoir si il y a des enregistrements dans Master.csv ou dans une base de donnée si asterisk real time

[Mohaax]

Salut, voici mon fichier manager.conf

[general]
enabled = yes
port = 5038
bindaddr = 0.0.0.0 (je l'ai maintenant changer en 127.0.0.1 et du coup plus d'accès à l'exterieur)

[cron]
secret = 1234
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user

[updatecron]
secret = 1234
read = command
write = command

[listencron]
secret = 1234
read = system,call,log,verbose,command,agent,user
write = command

[sendcron]
secret = 1234
read = command
write = system,call,log,verbose,command,agent,user

pour ce qui est du NAT il y en a pas c'est un serveur dédié avant je bloquais seulement les ports que j'utilisais (http,https,sip)
mais j'ai maintenant mis la règle INPUT en DROP du coup tout les ports sont bloquer comme ça et toute façon le manager n'est plus accessible à l’extérieur je me suis renseigner sur le manager j'ai vu que c'est pour les développeur afin d'interagir un programme avec asterisk donc je pense vraiment que mon problème venait de la surtout vu les mots de passe 1234

donc voila je vous demande si c'est possible qu'ils est passé les appels depuis le manager ?

Merci encore a tous pour votre aide.