Board logo

標題: 請大家小心自己的asterisk/elastix被入侵 [打印本頁]

作者: 電腦超人    時間: 2013-5-2 15:30     標題: 請大家小心自己的asterisk/elastix被入侵

最近我3台asterisk/elastix中有兩台也有被人入侵的跡象...
其中elastix不肯定是否被改了dialing plan可以試撥出“001.”的電話...
(相信不是自己加上後忘了,因為2個outbound也改了,而且自己也不常用001來作dialplan)...

幸好我本身的trunk也disable了IDD功能...唯一一個連接到OBi的是要輸入密碼才能撥出...
暫時未見到有損失...

看到嘗試致電的地區有西班牙/印度/台灣...及不少其他地區...甚至連衛星電話(+881)也有...

請大家小心注意一下自己的asterisk server......
作者: 雯雯    時間: 2013-5-2 15:37

回復 1# 電腦超人

所以我的Asterisk一直都不對外開, 自己要用就透過VPN, 家人用就透過OBi.
作者: lttliang    時間: 2013-5-2 20:56

回復  電腦超人

所以我的Asterisk一直都不對外開, 自己要用就透過VPN, 家人用就透過OBi. ...
雯雯 發表於 2013-5-2 15:37



    雯雯,我在router中设左唔回应ping IP,咁这样人地应该扫描唔到吧?
作者: 雯雯    時間: 2013-5-2 21:18

回復 3# lttliang

那只是唔回應ping, 如果佢scan你port=冇用.
作者: lttliang    時間: 2013-5-2 21:29

回復  lttliang

那只是唔回應ping, 如果佢scan你port=冇用.
雯雯 發表於 2013-5-2 21:18



      。。。我仲以为唔回应 就OK了  睇来我要停左port映射先得
作者: 雯雯    時間: 2013-5-2 21:33

回復 5# lttliang

你停了port映射的話你自己在外用VoIP又要透過VPN才能用.
作者: lttliang    時間: 2013-5-2 21:35

回復  lttliang

你停了port映射的話你自己在外用VoIP又要透過VPN才能用.
雯雯 發表於 2013-5-2 21:33



    yes  个router有pptp vpn server,可以考滤暂时停左port映射试下
作者: 雯雯    時間: 2013-5-2 21:49

回復 7# lttliang

不過PPTP大陸經常丟包和斷線, 所以要經常upgrade自己.
作者: 電腦超人    時間: 2013-5-2 22:51

我兩台VoIP server也是開放給其他人用的...所以不能用VPN連進去...
(因為user也多不太懂電腦/手機操作...莫說是在手機連VPN了...有時叫他們開個app也懶開......)

所以也只能在dialplan中下手了...也在有空的時候看看log...
作者: lttliang    時間: 2013-5-2 23:02

回復  lttliang

不過PPTP大陸經常丟包和斷線, 所以要經常upgrade自己.
雯雯 發表於 2013-5-2 21:49



    upgrade?如何做?
作者: Qnewbie    時間: 2013-5-2 23:28

我兩台VoIP server也是開放給其他人用的...所以不能用VPN連進去...
(因為user也多不太懂電腦/手機操作...莫 ...
電腦超人 發表於 2013-5-2 22:51


If this is the case, you might consider free PBX like PBXes.org.

Client <=> PBXes <=> Your Asterisk <=>...

I believe PBXes has better protection
作者: 電腦超人    時間: 2013-5-3 00:49

If this is the case, you might consider free PBX like PBXes.org.

Client  PBXes  Your Asterisk ... ...
Qnewbie 發表於 2013-5-2 23:28

如果我的asterisk裡有SIP trunk(eg:2b/comnet/nwt)而不用PBXes的話...
那我應該是要做port 5060/10000-20000 port forward...

那換句話說...我的asterisk user要暴露出來對吧...

可以設定user只能給local network register嗎?
作者: SuiYan    時間: 2013-5-3 00:58

我用了其他port 來替代5060
作者: Qnewbie    時間: 2013-5-3 02:09

My case is simpler.

The free online PBX acts as bridge. For my asterisk, I add the free online PBX as a trunk. The client outside my asterisk registers to the same PBX.

The call process is a bit more complicated. Client dials an internal number(controlled by dialplan in the online PBX) to reach my asterisk(through inbound rules), then follows voice(menu) instructions(like pin-code or other stuff) to dial out.

I don't think it exposes your asterisk user. Your extensions can restrict to local network only.
作者: 雯雯    時間: 2013-5-3 10:19

回復 12# 電腦超人

我的Asterisk有Comnet phone trunk, 但是我沒有做任何port forward. 另外如某些user只需打香港電話, 不用打IDD的話, 可以限制他們的extension只能用撥打香港電話的dial plan.
作者: 電腦超人    時間: 2013-5-3 11:15

回復  電腦超人

我的Asterisk有Comnet phone trunk, 但是我沒有做任何port forward. 另外如某些user只需 ...
雯雯 發表於 2013-5-3 10:19

是的...把DialPlan設定得好是我一直以來也有提出的...
所以即使hacker能login入我的asterisk也不能撥出付費IDD(免費的我有些開放了 )

不過對於elastix那邊...我有點懷疑"001."這條rules是hacker進入了webadmin版面自行加的...
所以也建議不要把webadmin版面放出來...
作者: 電腦超人    時間: 2013-5-3 11:16

回復  電腦超人

我的Asterisk有Comnet phone trunk, 但是我沒有做任何port forward. 另外如某些user只需 ...
雯雯 發表於 2013-5-3 10:19

但是我想問一下...如果我在router中不做5060 port forward的話...
會否影響到SIP trunk的撥打與接收?
作者: 電腦超人    時間: 2013-5-3 11:22

順帶一提...找過一下log...hacker好像是來自以色列地區的...
跟據IP的話在網上也找到有其他受害者...(上年年中開始的了)
作者: 雯雯    時間: 2013-5-3 13:03

回復 17# 電腦超人

不做5060 port forward沒有影響SIP trunk撥打和接收.
作者: SuiYan    時間: 2013-5-4 00:03

我做的是port forward

port 5060 不做forward

e.g.  UDP入 5062 forward 去 192.168.1.XX 的 5060
那ATA就設定 suiyan.ddns.org:5062
作者: 角色    時間: 2013-5-4 07:27

因为我用NAS左Asterisk,port也用5060,而password有一定的长度和适当的settings,所以他们进来测试密码时,都不知道extension和密码是否对!如果要真的hack我的Asterisk,估计也要花好几年!
作者: 電腦超人    時間: 2013-5-4 09:09

因为我用NAS左Asterisk,port也用5060,而password有一定的长度和适当的settings,所以他们进来测试密码时 ...
角色 發表於 2013-5-4 07:27

如果你這樣說...我在想是否Elastix還有一些保安漏洞導致hacker可以拿到密碼...
雖然早前alang兄提及過elastix 2.2以下的版本有保安漏洞...但我用的是2.3.0 release 5(是看"elastix"而不是看"elaseix-XXX"那些吧~)
未肯定是否因為這樣被拿到了user的密碼...

看來還是關閉public web access好了......

重貼一下之前的帖
http://www.telecom-cafe.com/forum/viewthread.php?tid=5265
作者: 雯雯    時間: 2013-5-5 20:02

http://www.mobile01.com/topicdet ... f&last=41492728




歡迎光臨 電訊茶室 (http://telecom-cafe.com/forum/) Powered by Discuz! 7.2