Forum général.général Asterisk piraté je cherche la faille à l'aide!!!

Bonjour,

Ce jour mon opérateur sip m appel pour minformer qu il coupe les communications car un serveur Asterisk 1.8.20 semble etre compromis (3000 minutes consommés vers les pays de l'est en 1 heure)

Je me connecte, et là c'est à ne rien y comprendre!!! les extensions sont bien connectés avec les bonnes IP (sip show peers) mais si je fais un "sip show channels" je vois une IP aux US qui balance des appels depuis toutes mes extensions!!!

PS: les mots de passes sont blindés (maj/min/chiffre/carac speciaux/>a 8 caractère)
+fail2ban

Au début je me dis bon si ca se trouve c'est un cas isolé…

Et là le choc ce meme jour un autre serveur en Asterisk 11.2 a le meme comportement… et… depuis la meme adresse IP!!!
(l'adresse IP de ce serveur est completement différente)
J en arrive donc à me demander si il n y a pas un "nouvel" exploit pour asterisk ?

Ci dessous un copy/paste de ma session asterisk ou l on voit bien qu'une IP qui n ait pas celle des extensions passent des appels:

L'IP anormale est 67.222.131.147 correspond a sipcoery (cf google). (192.168.100.253 = gateway isdn)

scopserv*CLI> sip show peers
Name/username Host Dyn Forcerport ACL Port Status Description
6701/6701 192.168.100.106 D 5062 OK (21 ms)
6702/6702 192.168.100.107 D 5062 OK (34 ms)
6703/6703 192.168.100.105 D 5062 OK (25 ms)
6704/6704 192.168.100.129 D 5060 OK (18 ms)
6705/6705 192.168.100.130 D 5060 OK (31 ms)
6707/6707 (Unspecified) D 0 UNKNOWN
6711/6711 192.168.100.122 D 5062 OK (26 ms)
6712/6712 192.168.100.100 D 5062 OK (41 ms)
6713/6713 190.99.105.47 D N 5060 OK (369 ms)
6714/6714 192.168.100.110 D 5062 OK (19 ms)
6717/6717 192.168.100.120 D 5062 OK (49 ms)
6718/6718 192.168.100.121 D 5062 OK (33 ms)
6720/6720 192.168.100.109 D 5062 OK (21 ms)
patton 192.168.100.253 5060 OK (20 ms)
14 sip peers [Monitored: 13 online, 1 offline Unmonitored: 0 online, 0 offline]
scopserv*CLI> sip show channels
Peer User/ANR Call ID Format Hold Last Message Expiry Peer
192.168.100.253 006703307212 15f3211728fe4d4 (ulaw) No Tx: ACK patton
67.222.131.147 6720 6920bc57618847d (ulaw) No Rx: ACK 6720
67.222.131.147 6720 2544fc205ecc41d (ulaw) No Rx: ACK 6720
67.222.131.147 6720 cd0ff3f13d80411 (ulaw) No Rx: ACK 6720
67.222.131.147 6720 d70a293970b94f0 (ulaw) No Rx: ACK 6720
192.168.100.253 006703307212 39dcdeb269b7698 (ulaw) No Tx: ACK patton
192.168.100.253 006703307212 7f6702fb7926120 (ulaw) No Tx: ACK patton
192.168.100.253 006703307212 0b38b5dc61c9337 (ulaw) No Tx: ACK patton
192.168.100.129 (None) 2783172508@192_ (nothing) No Rx: REGISTER
9 active SIP dialogs
scopserv*CLI>

Qu en pensez-vous ???

Point commun sur les deux serveurs j ai les meme logs:
[2013-03-05 04:08:55] NOTICE[4607][C-00001168] chan_sip.c: Call from '' (37.8.52.218:10011) to extension '900972598187817' rejected because extension
not found in context 'all-incoming-guest'.
[2013-03-05 04:08:56] NOTICE[4607][C-00001169] chan_sip.c: Call from '' (95.138.169.103:5070) to extension '00441904890672' rejected because extensio
n not found in context 'all-incoming-guest'.
[2013-03-05 04:09:01] NOTICE[4607][C-0000116a] chan_sip.c: Call from '' (95.138.169.103:5080) to extension '00441904890672' rejected because extensio
n not found in context 'all-incoming-guest'.
[2013-03-05 04:09:05] NOTICE[4607][C-0000116b] chan_sip.c: Call from '' (95.138.169.103:5074) to extension '00441904890672' rejected because extension not found in context 'all-incoming-guest'.
2013-03-05 17:52:28] NOTICE[4607][C-00002f4b] chan_sip.c: Call from '' (37.8.100.28:28323) to extension '00972599950423' rejected because extension
not found in context 'all-incoming-guest'.
[2013-03-05 17:52:29] NOTICE[4607][C-00002f4c] chan_sip.c: Call from '' (37.8.100.28:28323) to extension '900972599950423' rejected because extension not found in context 'all-incoming-guest'.