Forum général.général Asterisk piraté je cherche la faille à l'aide!!!

Posté par . Licence CC by-sa
Tags : aucun
8
6
mar.
2013

Bonjour,

Ce jour mon opérateur sip m appel pour minformer qu il coupe les communications car un serveur Asterisk 1.8.20 semble etre compromis (3000 minutes consommés vers les pays de l'est en 1 heure)

Je me connecte, et là c'est à ne rien y comprendre!!! les extensions sont bien connectés avec les bonnes IP (sip show peers) mais si je fais un "sip show channels" je vois une IP aux US qui balance des appels depuis toutes mes extensions!!!

PS: les mots de passes sont blindés (maj/min/chiffre/carac speciaux/>a 8 caractère)
+fail2ban

Au début je me dis bon si ca se trouve c'est un cas isolé…

Et là le choc ce meme jour un autre serveur en Asterisk 11.2 a le meme comportement… et… depuis la meme adresse IP!!!
(l'adresse IP de ce serveur est completement différente)
J en arrive donc à me demander si il n y a pas un "nouvel" exploit pour asterisk ?

Ci dessous un copy/paste de ma session asterisk ou l on voit bien qu'une IP qui n ait pas celle des extensions passent des appels:

L'IP anormale est 67.222.131.147 correspond a sipcoery (cf google). (192.168.100.253 = gateway isdn)

scopserv*CLI> sip show peers
Name/username Host Dyn Forcerport ACL Port Status Description
6701/6701 192.168.100.106 D 5062 OK (21 ms)
6702/6702 192.168.100.107 D 5062 OK (34 ms)
6703/6703 192.168.100.105 D 5062 OK (25 ms)
6704/6704 192.168.100.129 D 5060 OK (18 ms)
6705/6705 192.168.100.130 D 5060 OK (31 ms)
6707/6707 (Unspecified) D 0 UNKNOWN
6711/6711 192.168.100.122 D 5062 OK (26 ms)
6712/6712 192.168.100.100 D 5062 OK (41 ms)
6713/6713 190.99.105.47 D N 5060 OK (369 ms)
6714/6714 192.168.100.110 D 5062 OK (19 ms)
6717/6717 192.168.100.120 D 5062 OK (49 ms)
6718/6718 192.168.100.121 D 5062 OK (33 ms)
6720/6720 192.168.100.109 D 5062 OK (21 ms)
patton 192.168.100.253 5060 OK (20 ms)
14 sip peers [Monitored: 13 online, 1 offline Unmonitored: 0 online, 0 offline]
scopserv*CLI> sip show channels
Peer User/ANR Call ID Format Hold Last Message Expiry Peer
192.168.100.253 006703307212 15f3211728fe4d4 (ulaw) No Tx: ACK patton
67.222.131.147 6720 6920bc57618847d (ulaw) No Rx: ACK 6720
67.222.131.147 6720 2544fc205ecc41d (ulaw) No Rx: ACK 6720
67.222.131.147 6720 cd0ff3f13d80411 (ulaw) No Rx: ACK 6720
67.222.131.147 6720 d70a293970b94f0 (ulaw) No Rx: ACK 6720
192.168.100.253 006703307212 39dcdeb269b7698 (ulaw) No Tx: ACK patton
192.168.100.253 006703307212 7f6702fb7926120 (ulaw) No Tx: ACK patton
192.168.100.253 006703307212 0b38b5dc61c9337 (ulaw) No Tx: ACK patton
192.168.100.129 (None) 2783172508@192_ (nothing) No Rx: REGISTER
9 active SIP dialogs
scopserv*CLI>

Qu en pensez-vous ???

Point commun sur les deux serveurs j ai les meme logs:
[2013-03-05 04:08:55] NOTICE[4607][C-00001168] chan_sip.c: Call from '' (37.8.52.218:10011) to extension '900972598187817' rejected because extension
not found in context 'all-incoming-guest'.
[2013-03-05 04:08:56] NOTICE[4607][C-00001169] chan_sip.c: Call from '' (95.138.169.103:5070) to extension '00441904890672' rejected because extensio
n not found in context 'all-incoming-guest'.
[2013-03-05 04:09:01] NOTICE[4607][C-0000116a] chan_sip.c: Call from '' (95.138.169.103:5080) to extension '00441904890672' rejected because extensio
n not found in context 'all-incoming-guest'.
[2013-03-05 04:09:05] NOTICE[4607][C-0000116b] chan_sip.c: Call from '' (95.138.169.103:5074) to extension '00441904890672' rejected because extension not found in context 'all-incoming-guest'.
2013-03-05 17:52:28] NOTICE[4607][C-00002f4b] chan_sip.c: Call from '' (37.8.100.28:28323) to extension '00972599950423' rejected because extension
not found in context 'all-incoming-guest'.
[2013-03-05 17:52:29] NOTICE[4607][C-00002f4c] chan_sip.c: Call from '' (37.8.100.28:28323) to extension '900972599950423' rejected because extension not found in context 'all-incoming-guest'.

  • # Je pense que

    Posté par . Évalué à 10.

    tu devrais plutot poster une question aussi spécifique sur les forums dédiés
    http://forums.asterisk.org/

    Ensuite quand je cherche sur google je trouve un exploit en date du 07/01/2013
    http://blog.exodusintel.com/tag/asterisk-exploit/

    Et une note ici à propos de fail2ban un gros warning que cela ne fonctionne pas à 100% avec asterisk.

    http://www.fail2ban.org/wiki/index.php/Asterisk

  • # sipsorcery

    Posté par . Évalué à 9.

    Salut,

    Peut-être que le problème ne vient pas de toi… L'IP en question est celle d'un serveur de SIPsorcery. Si un de tes clients (je ne sais pas quel est l'usage de ton serveur) utilise ce service et s'il s'est fait piraté ou si SIPsorcery est troué et que les identifiants sont dans la nature ça expliquerai ton problème.
    Tiens nous au courant, c'est intéressant.

  • # En attendant

    Posté par (page perso) . Évalué à 3.

    En attendant de trouver quoi, tu peux éventuellement limiter le nombre de connexion SIP simultanées…

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.