PDA

Voir la version complète : piratage du username asterisk



jean
14/01/2013, 20h41
salut

j'utilise asterisk couplé avec a2billing. Du coup, les username font 10 char de long, numeriques. Les numéros sont totalement aléatoire, aucune ressemblance avec un numéro de tel existant.

Je viens de voir passer une attaque sur un de mes serveurs, IP en provenance d'israel, avec un numero EXACT de user - mot de passe incorrect. F2B a fait son boulot et a jetté le gars, mais je reste perplexe sur comment ce hacker a pu trouver le username EXACT. Aucune activité particulière dans les logs avant (ou après), donc je ne pense pas que le gars ait déroulé tout les username de 00000000 à xxxxxxxxx.

Le client utilisé semble être EyeBeam de Counterpath (xlite en fait), et l'attaque n'est pas violente en soit - 40 paquets de balancés, donc pas vraiment un scanner

Des idées ?

J.

Kriss
23/01/2013, 16h44
Hello,

Je suis assez curieux de savoir comment ça a été fait également...
L'énumeration d'extension avec des envois de INVITE ou REGISTER est clairement à laisser de coté... ce genre d'attaque peut tester des usernames à raison de +-200 users/seconde, soit des mois pour des user de 10 char...

Bref si tu finis par y voir plus clair, n'hésite pas à nous faire un retour ;)

./Kriss

quintana
24/01/2013, 04h48
Faille dans ast2billing et il a récupérer la liste des username ? Ou un truc du genre ?
A mon avis c'est pas magique, il a du avoir eu accès au moins à ta liste de username. Sinon faille dans Asterisk quelques parts, mais ce qui est bizarre c'est que s'il a accès à ton username, il devrait surement avoir accès à ton pass. Sinon sniff de tes paquets SIP ? Ou alors un de tes clients en Izrael qui a perdu son password ;)
Regardes les logs de ton serveur web pour les premières options et tftp ou ftp si tu en as un avec du provisioning distant ou un truc du genre.
Sinon il est devin et donc laisse le se connecter pour l'appeler et lui demander les prochains numéro du loto ;)
D'ailleurs cela serait fun de faire un honey pot qui laisse n'importe qui se connecter et qu'il l'appel automatiquement pour lui dire que le FBI l'a repéré et qu'un F18 est entrain d'arriver :)

Comdif
24/01/2013, 11h51
Un conseil, si vous n'avez pas de clients Gaza ou Israel, bloquez toutes les IP
de ce pays, c'est le numéro un des attaques.
J'ai contrôlé plusieurs fois ce type d'attaque et chaque fois tombé sur le même type
de routeur Dlink (je crois) avec son login/password par défaut sans doute fournis par l'ISP, les pirates semblent utiliser ce type de routeur en proxy et l'IP n'est pas forcément l'auteur de la tentative.

jean
24/01/2013, 18h15
j'ai testé ma version a2billing avec detectify.com, et rien de dramatique trouvé.

j'ai commencé à implémenter des alertes quand un enregistrement arrive depuis un pays inhabituel. je vais effectivement renforcer mon controle...

par contre, pour le numéros du loto... c'est tentant !

jean
08/03/2013, 05h27
raahhh... un autre, meme scénario, direct avec le username et pas le bon mot de passe, f2b le dégomme.

j'ai regardé les logs de mon serveur a2billing - rien - quelques robots (70 hits en 3 semaines, dont la plupart avec ip google).

le compte utilisé est un poil différent du compte de la dernière fois, c'est un client qui a plusieurs comptes, qui ont des no proches, et donc je me demande si le client est pas en cause. j'ai une passerelle grandstream directement ouverte sur net sur un sdsl

j'ai regardé le blocage par pays, mais ca revient a insérer des tetrachiees de regles, et au dela de la perf, la lisibilité de l'iptables devient hard


je vais chercher un peu plus, mais je reste preneur de bonnes idees !

Reaper
08/03/2013, 09h45
La bonne idée c'est de changer de billing.

Comdif
08/03/2013, 12h48
La première bonne idée basique est de ne pas envoyer les numéros de compte en callerid.

faire une recherche "exploit modele_de_gateway" sur google

un petit truc également que j'ai rajouté sur mes switch pour les comptes type résidentiels et entreprise, c'est l'obligation de s'enregistrer ensuite j'ai ajouté
une fonction dans l'AGI pour aller lire l'ip du register et la comparée a celle interceptée, si ca MATCH pas on dégage

jean
08/03/2013, 13h23
La bonne idée c'est de changer de billing.

j'ai aucun soucis avec a2billing.... tu peux développer ?

jean
08/03/2013, 13h25
La première bonne idée basique est de ne pas envoyer les numéros de compte en callerid.
c'est juste


faire une recherche "exploit modele_de_gateway" sur google
j'ai fait, je suis en train de creuser - rien d'immediat



un petit truc également que j'ai rajouté sur mes switch pour les comptes type résidentiels et entreprise, c'est l'obligation de s'enregistrer ensuite j'ai ajouté
une fonction dans l'AGI pour aller lire l'ip du register et la comparée a celle interceptée, si ca MATCH pas on dégage

je comprends pas à quoi tu compares l'IP dans le register ?

Comdif
08/03/2013, 13h50
Oui j'ai rajouté
,${SIPCHANINFO(recvip)}
a la fin de l'envoi vers l'AGI ensuite comme je suis en realtime je vais lire
avec mon AGI, dans la DB l'IP enregistrée et je compare

cela dit c'est peut être plus souple de le faire direct au niveau du dialplan
et évite toutes bidouilles sur l'AGI

jean
08/03/2013, 14h15
ok, mais quelle est cette ip stockée ? cela revient à faire du statique non ? mais j'ai des clients en IP dynamique

Comdif
08/03/2013, 15h40
ok, mais quelle est cette ip stockée ? cela revient à faire du statique non ? mais j'ai des clients en IP dynamique

Non ça oblige juste à s'enregistrer pour pouvoir appeler puisque ce champ est dynamique en realtime, les hackers utilisent rarement le register pour cause de discrétion et donc ça filtre pas mal déjà.