Rank: 9 Rank: 9 Rank: 9

1^# 跳轉到 » 正序看帖

字體大小: tT

發表於 2013-6-9 09:28 | 只看該作者

20個位的密碼也被HACK!?!

今早check了一下...發現原來昨天有台elastix(2.3)其中一個user被入侵...
但因這台elastix的user密碼早前應該因為也試過被hack後已把password改成至少十多個位...

這個user的密碼已改到20個位...而且分別也有大細楷英文和數字...
再檢查後發現router的port forward 443 port忘了disable...未肯定是否經web的版面拿到login......
(因為我記得平時要config這台也是要經VPN連進去的...所以沒留意...真失策

)

不過暫時看到撥出的電話號碼也未算成功撥號...
所以看來暫時沒有損失...

順帶一提...這次的連線是由埃及發出的...

alang

新手上路

Rank: 1

21^#

發表於 2013-6-11 10:59 | 只看該作者

本人在目前這個過渡消費的社會裏 Practice 現代清貧的生活，家裡基本上是沒有任何值錢的東西的（連電腦也是 ...
homeinns 發表於 2013-6-10 21:45

能有如此豁達的心境自然是好事，只是處於現今凡事都是電子化的時代，稍一不注意就有可能使自己的所有身家財產給賠了，或許錢乃身外之物，再賺就有，然而若身份被不肖份子盜用，其損失恐難以估計。

現今網路駭客工具充斥，人人皆可成駭客，又電腦系統漏洞百出，一條網路線用與不用，該如何用，慎思之。

OSSLab Blog :: VoIP & IT Consultant

TOP

homeinns

新手上路

Rank: 1

20^#

發表於 2013-6-10 21:45 | 只看該作者

本帖最後由 homeinns 於 2013-6-10 22:02 編輯

本人在目前這個過渡消費的社會裏 Practice 現代清貧的生活，家裡基本上是沒有任何值錢的東西的（連電腦也是最古老的 P4 上古恐龍年代的貨色），因此家裡可以不設防，如果有小偷進來偷東西，那應該是他倒楣，并不是我倒楣。

同一個道理 Apply to ASTERISK server，只要Practice 現代清貧的生活，家（Asterisk Server) 裡基本上是沒有任何值錢的東西的 ,如果有小偷進來偷東西，那應該是他倒楣，并不是我倒楣。

當現代的清貧生活達到最高的境界，自己的家（含 Asterisk Server) 是不需要安裝任何門窗的，任何人士都可以自由進出，小偷進來，也無所謂。

這才是真正 “自由” 的最高境界，身上無一物，已經沒有任何的懼怕，因為已經達到一無所有的最高境界。

人是赤條條的來到這個世界，也是赤條條的離開這個世界，爲什麽在這個世界里, 要擁有那麼多東西呢？？，死了以後，還遺留下那麼多的垃圾在這個世界上呢？？？尤其是值錢的，和吸引盜賊的東西（含 Asterisk Server 內的可以變賣成金錢的 Resources 呢 ????)，

你們看，小甜甜死後，發生的事情，就是最好的鐵證啦。何必呢？？？

TOP

浮雲1965

新手上路

Rank: 1

19^#

發表於 2013-6-10 21:14 | 只看該作者

本帖最後由浮雲1965 於 2013-6-10 21:19 編輯

謝謝，可以考慮。因為我的elastix是在vm上開的，本來已有內外网。同埋也已有openvpn連接內網。所以才提出可否在elastix加網卡的提議。

TOP

雯雯

新手上路

Rank: 1

18^#

發表於 2013-6-10 19:57 | 只看該作者

能不能加一个网卡，然后配置成内网的网段，用来做web管理？因为我内网网段，在外面是可以经openvpn进入的 ...
浮雲1965 發表於 2013-6-10 18:11

其實你可以不用加1個網卡! 在Elastix上裝1個VPN Server, 然後在iptables開相應的port就可以了!

Welcome to my TaoBao shop: http://mandymak520.taobao.com/

TOP

浮雲1965

新手上路

Rank: 1

17^#

發表於 2013-6-10 18:43 | 只看該作者

我目前已用iptables限制了，只是还是不放心。所以想，如果能加一个网卡，专门用来web 管理的，设置成内网的网段，那我就可以经openvpn进入内网的网段，然后访问Elastix的web了。这样应该比较放心。

TOP

alang

新手上路

Rank: 1

16^#

發表於 2013-6-10 18:22 | 只看該作者

如果我在Elastix的iptable上限制了登入的ip呢？因為我還是需要遠端登入Elastix的Web page去做設置啊。 ...
浮雲1965 發表於 2013-6-10 14:12

關鍵設定在於如何禁止所有人都能存取管理介面，千萬不要信賴管理介面的登入機制。

方法可以有許多種，iptables 當然也是其一

OSSLab Blog :: VoIP & IT Consultant

TOP

alang

新手上路

Rank: 1

15^#

發表於 2013-6-10 18:16 | 只看該作者

VPN 是其中一種方式，還有 SSH tunel, 或 Elastix 的 SSL 私有憑證都可以作到有效的防護。

那個漏洞雖然是 v2.2，不過這突顯的是 Web 是一個非常不安全的存取方式，如果你有關注網路上的各種漏洞發佈消息，你會驚訝，大部份的網站程式如沒有定時作更新，其實有許多漏洞的。

還有許多 Elastix 的漏洞並非與 Elastix 核心有關，問題多數出在那些外掛的模組，而這些模組並不是由 Elastix 所開發維護的，希望網友們不要誤以為 Elastix 是個不安全的套件。

OSSLab Blog :: VoIP & IT Consultant

TOP

浮雲1965

新手上路

Rank: 1

14^#

發表於 2013-6-10 18:11 | 只看該作者

能不能加一个网卡，然后配置成内网的网段，用来做web管理？因为我内网网段，在外面是可以经openvpn进入的。

TOP

電腦超人

管理員

Rank: 9 Rank: 9 Rank: 9

13^#

發表於 2013-6-10 17:55 | 只看該作者

不管是 Asterisk-GUI, Elastix 或其他 Asterisk Distro. 只要有附帶 Web 管理介面的，都不建議直接開放給公 ...
alang 發表於 2013-6-10 13:20

正確來說這類控制到系統的也不應開放的...(是我懶罷了

)
要安全的話應該好像雯雯那樣全部也要VPN進去......(對嗎?)

alang兄你早前提過的漏洞不是2.2或以下嗎?
2.3或以上的也有影響?(難道是我記錯?)

TOP

浮雲1965

新手上路

Rank: 1

12^#

發表於 2013-6-10 14:12 | 只看該作者

如果我在Elastix的iptable上限制了登入的ip呢？因為我還是需要遠端登入Elastix的Web page去做設置啊。

TOP

alang

新手上路

Rank: 1

11^#

發表於 2013-6-10 13:20 | 只看該作者

不管是 Asterisk-GUI, Elastix 或其他 Asterisk Distro. 只要有附帶 Web 管理介面的，都不建議直接開放給公眾網路存取，即使密碼強度很高也是一樣。

我之前有公佈一個 Elastix 內含某個模組的漏洞，儘管這個模組一般人不會去用，但這個漏洞卻會曝露許多系統的重要資訊。

OSSLab Blog :: VoIP & IT Consultant

TOP

電腦超人

管理員

Rank: 9 Rank: 9 Rank: 9

10^#

發表於 2013-6-9 20:06 | 只看該作者

另一台的Elastix好像也被改了admin密碼...
google了一下網上好像也有類似的事件出現...

用elastix的用家不要將web admin page暴露在外...
(Disable HTTP(80)/HTTPS(443)/SSH(22)...)

另外好像hack進後會在dialplan中加上"4."的outbound...
換句話說...只要拿到了user的密碼...再以4+號碼便能撥出...

PS:我是懶設定所以才放了80/443...只不過後面的trunk不能撥出IDD就是了...

TOP

SuiYan