Asterisk, S450IP... et n° surtaxé :-(

**myvoip** · 27/11/2010, 22h26

Bonsoir,
J'aimerais avoir votre expertise sur la mésaventure ci-dessous arrivée sur une config en production depuis fin 2009. J'en profite pour vous alerter :

Software
Ubuntu 9.10
Kernel 2.6.27-7
Asterisk 1.4.33.1
Zaptel 1.4.12.1

Hardware
Carte Digium TDM 400
FXS1 => FT
FXS2 => RJ11 Freebox
FXO1 => DECT Siemens (poste 100)
FXO2 => DECT Siemens (poste 200)
sur LAN => Siemens S450IP (poste 201)

Problématique
En consultant ma console Free, je découvre ce message:
"Facture No 11-xxxxx du mois de Novembre 2010 impayée"

Un coup d'oeil au détail de la consommation indique des centaines d'appels à un unique n° en Espagne (sauf le second appel). Ces n° me sont parfaitement inconnus !

21/11/1013:1200:00:030034902733170 Espagne - Mobile0.010 21/11/1013:1300:01:010034902733080 Espagne - Mobile0.193 21/11/1013:3500:27:240034902733170 Espagne - Mobile5.206 21/11/1014:1000:42:290034902733170 Espagne - Mobile8.072 21/11/1015:0500:32:360034902733170 Espagne - Mobile6.194 21/11/1015:3800:40:390034902733170 Espagne - Mobile7.724 22/11/1001:0800:25:480034902733170 Espagne - Mobile4.902 22/11/1001:3500:00:120034902733170 Espagne - Mobile0.038 22/11/1001:3600:09:270034902733170 Espagne - Mobile1.796 22/11/1001:4600:07:120034902733170 Espagne - Mobile1.368 22/11/1001:5400:07:090034902733170 Espagne - Mobile1.359 22/11/1002:0200:07:090034902733170 Espagne - Mobile1.359
etc... etc...

Après recherches, il ne s'agit malheureusement pas d'un piratage chez Free, car les logs de mon Asterisk attestent que les appels ont bien été passés en interne par le poste ... 201 (le Siemens S450IP) !!! Extraits des logs :

Code:

"","201","0034902733170","internal","201","SIP/201-08709430","Zap/3-1","Dial","Zap/3/0034902733170","2010-11-22 18:54:17","2010-11-22 18:54:20","2010-11-22 19:02:08",471,468,"ANSWERED","DOCUMENTATION","1290452057.4571",""
"","201","0034902733170","internal","201","SIP/201-09112dc0","Zap/3-1","Dial","Zap/3/0034902733170","2010-11-22 19:02:31","2010-11-22 19:02:35","2010-11-22 19:10:24",473,469,"ANSWERED","DOCUMENTATION","1290452551.4606",""
"","201","0034902733170","internal","201","SIP/201-08707c60","Zap/3-1","Dial","Zap/3/0034902733170","2010-11-22 19:10:46","2010-11-22 19:10:49","2010-11-22 19:18:37",471,468,"ANSWERED","DOCUMENTATION","1290453046.4640",""
"","201","0034902733170","internal","201","SIP/201-09126350","Zap/3-1","Dial","Zap/3/0034902733170","2010-11-22 19:18:59","2010-11-22 19:19:03","2010-11-22 19:26:49",470,466,"ANSWERED","DOCUMENTATION","1290453539.4673",""
"","201","0034902733170","internal","201","SIP/201-091e7aa0","Zap/3-1","Dial","Zap/3/0034902733170","2010-11-22 19:27:11","2010-11-22 19:27:15","2010-11-22 19:27:52",41,37,"ANSWERED","DOCUMENTATION","1290454031.4705",""
"","201","0034902733170","internal","201","SIP/201-08718250","Zap/3-1","Dial","Zap/3/0034902733170","2010-11-22 19:28:05","2010-11-22 19:28:09","2010-11-22 19:35:03",418,414,"ANSWERED","DOCUMENTATION","1290454085.4708",""
"","201","0034902733170","internal","201","SIP/201-08707c60","Zap/3-1","Dial","Zap/3/0034902733170","2010-11-22 19:35:25","2010-11-22 19:35:29","2010-11-22 19:43:17",472,468,"ANSWERED","DOCUMENTATION","1290454525.4742",""
"","201","0034902733170","internal","201","SIP/201-08614b28","Zap/3-1","Dial","Zap/3/0034902733170","2010-11-22 19:43:39","2010-11-22 19:43:42","2010-11-22 19:51:32",473,470,"ANSWERED","DOCUMENTATION","1290455019.4773",""
"","201","0034902733170","internal","201","SIP/201-08718250","Zap/3-1","Dial","Zap/3/0034902733170","2010-11-22 19:51:54","2010-11-22 19:51:58","2010-11-22 19:59:44",470,466,"ANSWERED","DOCUMENTATION","1290455514.4807",""
"","201","0034902733170","internal","201","SIP/201-0875fc70","Zap/3-1","Dial","Zap/3/0034902733170","2010-11-22 20:00:06","2010-11-22 20:00:10","2010-11-22 20:07:58",472,468,"ANSWERED","DOCUMENTATION","1290456006.4839",""
"","201","0034902733170","internal","201","SIP/201-087152b0","Zap/3-1","Dial","Zap/3/0034902733170","2010-11-22 20:08:20","2010-11-22 20:08:24","2010-11-22 20:09:00",40,36,"ANSWERED","DOCUMENTATION","1290456500.4871",""

1ère action
J'ai modifié mon extension.conf pour interdire la numérotation de type +3490xxx, le 0 correspond à des n° espagnols surtaxés.

2ème action
Recherche de ce qui a pu se passer avec le S450IP mais je sèche. La seule piste que je vois est d'avoir fait une maj de son firmware il y a quelques jours. Le firmware Siemens était-il hacké ???

Total de l'histoire, près de 300 € de surfacturation chez Free que je vais payer puisque les appels ont bien été passés de chez moi.

Je n'ai pas d'explication sur ces numérotations autos.
Pourriez-vous m'aider à comprendre / diagnostiquer ?
Qu'en pensez-vous ?

Merci d'avance.

**ffossard** · 27/11/2010, 22h52

Pas d'ouverture sur l'extérieur au niveau d'Asterisk ? (port sip natté, compte facile à trouver, mot de passe un peu faible ...)

**hb22** · 28/11/2010, 02h25

Un problème malheureux mais intéressant...
Le port 5060 du routeur ou de la box est t'il redirigé vers l'Asterisk ?
As tu les logs du jour du problème ?

**_AK_** · 29/11/2010, 11h14

sujet d'actualité

Je pense plus a une faille dans ton système que dans le firmware du téléphone.

le fait que ce soit le compte 201 qui ai passé les appels ne veux pas dire que ce soit le siemens qui ai envoyé les informations du compte. c'est certainement un virus sur ton PC ou un scan par l'extérieur.(surtout si ton compte etait 201 et ton pass 201....)

**myvoip** · 29/11/2010, 23h39

@ffossard,
Les seules ouvertures que je vois sont côté Freebox, puisque j'ai activé des redirections de plages de ports :
10000-20000 udp => IP fixe interne du serveur Asterisk
5060-5065 udp => IP fixe interne du serveur Asterisk

Mes mots de passes sont faibles car je pensais être en réseau fermé.
Je comprends qu'il suffit d'adresser en pointant mon adresse IP WAN. Le hacker "voit" donc et adresse Asterisk de l'extérieur. Brrrr !!!

@hb22,
Je dispose de tous les logs. En particulier /var/log/asterisk/messages = 216 MB !!!

@_AK_,
Effectivement, je ne crois plus à un pb de firmware, car j'ai regardé dans mon gigantesque historique de logs, et j'y ai découvert des milliers d'attaques différentes depuis fin 2008. Exemples.
1ère série

Code:

[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"0"<sip:0@192.168.200.11>' failed for '81.66.127.231' - No matching peer found
[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"1"<sip:1@192.168.200.11>' failed for '81.66.127.231' - No matching peer found
[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"2"<sip:2@192.168.200.11>' failed for '81.66.127.231' - No matching peer found
[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"3"<sip:3@192.168.200.11>' failed for '81.66.127.231' - No matching peer found
[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"4"<sip:4@192.168.200.11>' failed for '81.66.127.231' - No matching peer found
[Dec  2 08:53:40] NOTICE[8409] chan_sip.c: Registration from '"5"<sip:5@192.168.200.11>' failed for '81.66.127.231' - No matching peer found

2ème série

Code:

[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foolish"<sip:foolish@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foolishl"<sip:foolishl@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foolishn"<sip:foolishn@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foolproo"<sip:foolproo@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"fools"<sip:fools@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foonly"<sip:foonly@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foostar"<sip:foostar@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"foot"<sip:foot@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"footage"<sip:footage@78.240.176.140>' failed for '91.121.140.200' - No matching peer found
[Aug  6 13:31:14] NOTICE[20977] chan_sip.c: Registration from '"football"<sip:football@78.240.176.140>' failed for '91.121.140.200' - No matching peer found

3ème série (là il scanne mes postes internes)

Code:

[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:18] NOTICE[27510] chan_sip.c: Registration from '"101" <sip:101@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password
[Nov 17 05:43:28] NOTICE[27510] chan_sip.c: Registration from '"202" <sip:202@78.240.176.140>' failed for '188.165.211.195' - Wrong password

Bizarrement je ne trouve rien en face de cet extrait de facturation Free (je suppose que l'intrusion est antérieure) :

Code:

21/11/1013:3500:27:240034902733170                 Espagne - Mobile5.206 21/11/1014:1000:42:290034902733170                 Espagne - Mobile8.072

Au final, je vais sécuriser Asterisk comme suit :
1) Blocage des scans via la recette de fastm3 (en test, qques soucis avec le register des providers voip).
2) Fail2ban
3) Changement de tous les passwords et choisir de + robustes.
4) Script déclenchant un mail (voire bloquant Asterisk) au bout de xx appels en 1h. (si vous avez des exemples, je suis preneur ;-)

Mes questions du soir :
A) Certains considèrent que la machine est à risque et conseillent de tout formater/réinstaller (risque de rootkit). Qu'en pensez-vous ?

B) Considérez-vous que la machine est 100% protégée des attaques extérieures en appliquant 1) et 2) ? Si non, pourquoi ?

C) Si 1) est correct, 2) est inutile, non ?

D) Avez-vous des remarques ou des conseils sur mon plan de sécurisation ?

**_AK_** · 01/12/2010, 16h43

Envoyé par myvoip

5060-5065 udp => IP fixe interne du serveur Asterisk

donc tu peux te faire scanner

Au final, je vais sécuriser Asterisk comme suit :
1) Blocage des scans via la recette de fastm3 (en test, qques soucis avec le register des providers voip).

fait attentions a mes remarques sur ses posts.

2) Fail2ban

très bien

3) Changement de tous les passwords et choisir de + robustes.

obligatoire

4) Script déclenchant un mail (voire bloquant Asterisk) au bout de xx appels en 1h. (si vous avez des exemples, je suis preneur ;-)

j'en ai posté il n'y a pas longtemps pour des cdr en mysql.

Mes questions du soir :
A) Certains considèrent que la machine est à risque et conseillent de tout formater/réinstaller (risque de rootkit). Qu'en pensez-vous ?

d'après mois c'est juste ton compte SIP qui avait un pass faible et donc exploitable donc aucune possibilité d'installer un rootkit.

B) Considérez-vous que la machine est 100% protégée des attaques extérieures en appliquant 1) et 2) ? Si non, pourquoi ?

100% n'existe pas
ceci dit il faut que ton 1 n'accepte explicitement QUE les adresses IP de tes fournisseur SIP et eventuellement tes comptes SIP distant.

C) Si 1) est correct, 2) est inutile, non ?

si 1 bloque tout sauf provider alors oui 2 est inutile.
fail2ban n'est utile que si l'on doit laisser la machine visible de l'exterieur.
si seuls tes providers peuvent te voir pas de souci a se faire.

D) Avez-vous des remarques ou des conseils sur mon plan de sécurisation ?

si machine ouverte sur l'exterieur, change aussi le port SIP. (autre chose que 5060)

vérifie bien tes regles IPTABLES pour qu'elles bloque tout et pas seulement port SIP car il doit y avoir des failles dans l'interface web.

tu as quasiment toutes les informations disponible sur ce site

a toi de jouer.

Discussion: Asterisk, S450IP... et n° surtaxé :-(

Outils de la discussion

Rechercher dans la discussion

Affichage

Vue hybride

Asterisk, S450IP... et n° surtaxé :-(

Règles de messages