SKFREE
Troubleshooting - asterisk voip fraud neexistujuce cislo
Chalan - 06.02.2014 - 08:04
Post subject: asterisk voip fraud neexistujuce cislo
z nasej ustredne boli uskutocnene hovory z cisla ktore v extensions vobec nemame.
ustredna je sice na verejnej ip v serverhousingu ale bezi na nej firewall (povolene len ip klientov, ip iax trunku, dns server, ntp servre) vsetko ostatne je zakazane.
taktiez mame zviazane ip s extension na ustredni takze nechapem ako k fraudu mohlo prist. v logu asterisku je toho priserne vela a nevyznam sa v tom, pomohol by mi niekto pozriet sa na logy a zistit ako k fraudu mohlo prist? volalo sa z dvoch cisiel do zony 3 z coho jedno je vlastne neexistujuce cislo.
ako grepnem z logu vsetko od urciteho datumu a casu?
Chalan - 06.02.2014 - 09:47
Post subject:
tak uz som zistil ten grep
awk -F'[: ]' '$2 >= 19 && $2 <= 23 { print }'
zhruba v tom case sa to stalo ale ajtak to ma 178tis riadkov ktore mi dokopy nic nehovoria. pomoze niekto? naco sa v tom logu zamerat? registracie SIP som pozeral a ziadna SIP s takym cislom sa na ustrednu nikdy nezaregistrovala.... ako sa z toho cisla teda mohlo volat?
edit: pisali mi od providera ze vraj to nezname cislo bolo zamaskovane za ine, existujuce. ok ale ako ho mohli zamaskovat? ako sa dostali do ustredne ked zahadzovala vsetky ip okrem tych ktore pozna? aj fail2ban tam mam a kebyze niekto skusa ssh tak ho zabanuje, fakt to nechapem...
kotol - 06.02.2014 - 17:10
Post subject:
kto nema asterisk spickovo odladeny sa hra s ohnom... ak ti to niekto hackne (hackol) je otazka chvilky aby ti natocili ucet kludne par stotisic euro...
nestoji to vobc za to hrat sa s lacnymi rieseniami...
Chalan - 06.02.2014 - 19:54
Post subject:
a ktore riesenie je podla teba bezpecne?
pixall - 07.02.2014 - 01:29
Post subject:
Chalan wrote: ›a ktore riesenie je podla teba bezpecne?
to ktore ma admin zvladnute oz A po Z 
cisty asterisk z asterisk.org, ktory sa konfiguruje cez textove subory, je pomerne uspokojivy co do funkcii aj bezpecnosti. kym ho clovek vobec touto cestou nastavi, musi sa tymi konfigmi prehryzt, pochopit ich, a to pomaha k tomu, aby mal prehlad, co sa vlastne vovnutri deje a preco, a o to presne ide. ja som zacinal presne takto - okrem ineho aj preto, ze v tom case ziadne webrozhranie na asterisk neexistovalo )
asteriskove distribucie ako napr freepbx, elastix, atd, su svojou jednoduchostou pristupne aj menej skusenym uzivatleom, nevyzaduju hlbkove znalosti, da sa to s nimi nastavit takmer az metodou pokus-omyl, vela veci je predpripravenych. riziko zneuzitia pri takto nastavenych systemoch je velike, lebo po svete beha dost ludi, ktorych znalosti su naopak nadpriemerne, a schopnost vyhladavat a zneuzivat takto chabo nastavene systemy, je dost velka.
ja osobne prevadzkujem viacero asteriskov na internete, co vyzaduje pomerne dost vysoku bezpecnost. preto idem opacnym smerom nez smerom k freepbx a spol. vychadzam z cisteho asterisku z asterisk.org, a k tomu mam doprogramovane svoje veci - podrobnejsie logovanie, podrobnejsie overovanie pred spojenim kazdeho hovoru, takmer kompletne nanovo napisane spajanie a routovanie hovorov. bezpecnostne obmedzenia su na kazdom kroku. webrozhranie neexistuje. moznost aministracie ustredni z verejnej siete neexistuje. tri stvrtiny modulov nie su vobec naloadovane (naco aj, ked nie su potrebne). no a v takomto pripade je asterisk pomerne silny, bezpecny, vykonny nastroj. a viacmenej to ide plati pre akykolvek iny nastroj. 
len tak pre zaujimavost, pred par dnami ma kopla muza a opravoval som jednu z chyb v oficialnej verzii asterisku, ktora sposobovala sporadicke segfaulty a ktora trapila viacerych uzivatelov uz dlhsiu dobu (podarilo sa a momentalne cakam na zaradenie patchu do oficialnej distribucie, nech aj ja trochu prispejem svojou troskou). popri debugovani som mal moznost si pisal s clovekom, ktory tuto istu chybu nahanal na strojoch ktore spravuje on - medziinym tu patria aj dva asterisky, ktore zabezpecuju cast medzinarodnej hlasovej prevadzky pre jedneho hodne velkeho stredoeuropskeho operatora. videl som cast logov - za nieco vyse 1 tyzdna, traffic cca 25 mlionov hovorov na 2 asteriskoch - vratane transcodkingu, fax gatewayingu, a tak podobne. asi tym sa da demonstrovat to, na ake nasadenie sa da asterisk pomerne spokojne pouzit.... ale treba to s nim vediet. je to ako nabruseny noz - ked to umis, je to parada... a ked nie, boze chran 
sogi - 07.02.2014 - 10:04
Post subject:
pixall to pekne napisal...
jednoduchsie riesenie je ist na pre-pay a uz ked sa ti tam niekto nabura tak ti vycerpa len tvoj kredit (a este ti pride alert ze mas malo peniazkov). To samozrejme neplati o nadviazanych hovoroch (tie budu pokracovat aj ked sa kredit vycerpa) ale to uz musi kazdy prebrat sam ze ako prve restartne stack
<offtopic?
Chalan, ja som si podla tvojich predchadzajucich reci myslel ze ty si minimalne high-skilled provider s nejakou peknou firmou ale podla tvojich poslednych otazok (pol roka dozadu) mam coraz vacsi pocit ze len skusas co to da
</offtopic>
Chalan - 07.02.2014 - 11:15
Post subject:
s prichodom deti, pribudajucim vekom a zdravotnymi problemamy som zrejme osprostel alebo proste uz na nic nemam poriadne cas... a mozno som ukradol povodnemu chalanovi konto a jeho zahrabal niekde v lese
neos - 08.02.2014 - 18:07
Post subject: asterisk voip fraud neexistujuce cislo
Chalan wrote: ›z nasej ustredne boli uskutocnene hovory z cisla ktore v extensions vobec nemame.
ustredna je sice na verejnej ip v serverhousingu ale bezi na nej firewall (povolene len ip klientov, ip iax trunku, dns server, ntp servre) vsetko ostatne je zakazane.
taktiez mame zviazane ip s extension na ustredni takze nechapem ako k fraudu mohlo prist. v logu asterisku je toho priserne vela a nevyznam sa v tom, pomohol by mi niekto pozriet sa na logy a zistit ako k fraudu mohlo prist? volalo sa z dvoch cisiel do zony 3 z coho jedno je vlastne neexistujuce cislo.
ako grepnem z logu vsetko od urciteho datumu a casu?
Ja by som tipol, ze sa nedostali do ustredne, ale do siete nejakeho tvojho klienta a sli pod jeho IP. Dobuducna by som si nechal nastavit nejake custom limity u tvojho providera, pre jednotlive cisla tvojich klientov, alebo aspon dokopy pre tvoj cely trunk. Aspon pre kludnejsi spanok. Pripadne aj pocet concurrent hovorov per cislo. Aj kratky fraud dokaze pekne "zarobit".