salut

je viens, pour la première fois en 7 ans et pas mal de serveurs, de me faire pirater un serveur.... rahh... pas trop de dégats, mais une belle attaque bien brutale, en 1h30, 1500 appels frauduleux.

le truc qui m'étonne franchement, c'est que le gars (allez, je vous offre l'ip: 37.8.87.59 ), s'est directement enregistré du premier coup, avec un username à 10 chiffres et un pass à 10 lettres et chiffres maj/min. pas un wrong password, rien... vu que l'ip vient de palestine, je vois pas comment le gars aurait récupéré le passe de mon client...

je suis preneur d'idées !

J

Salut

Il n'aurait pas eu accès au fichier de provisioning de tes téléphones voir accès a l'équipement de ton client ( téléphone en mode centrex ou ipbx ) en lui même pour y extraire la conf ?

Il existe aussi des failles de sécurité sur les téléphones pour récupérer les infos ou sinon il c'est connecté sur ton serveur en ssh ? Tu as regardé tous tes logs système ?

bon, je commence à comprendre un peu... j'ai d'abord bloqué via ipset tous les pays sauf la france et les usa. mais le fraudeur est revenu, via le pabx d'un autre client.
or, cet autre client se trouve être un installateur, qui a installé le pabx du premier client piraté... je pense donc que la faille vient de là... mais aucune preuve...

sinon, pour répondre, j'ai pas de ssh douteux, pas de apache douteux (et tout est en https et les zones sensible avec un htaccess), une possibilité (si c'est pas le client) est que j'utilise une vieille version de a2billing, et que le gars a réussi à obtenir user/mdp par ce biais, mais alors la coincidence des deux comptes piratés est surprenante