piratage du username asterisk

[jean]

salut

j'utilise asterisk couplé avec a2billing. Du coup, les username font 10 char de long, numeriques. Les numéros sont totalement aléatoire, aucune ressemblance avec un numéro de tel existant.

Je viens de voir passer une attaque sur un de mes serveurs, IP en provenance d'israel, avec un numero EXACT de user - mot de passe incorrect. F2B a fait son boulot et a jetté le gars, mais je reste perplexe sur comment ce hacker a pu trouver le username EXACT. Aucune activité particulière dans les logs avant (ou après), donc je ne pense pas que le gars ait déroulé tout les username de 00000000 à xxxxxxxxx.

Le client utilisé semble être EyeBeam de Counterpath (xlite en fait), et l'attaque n'est pas violente en soit - 40 paquets de balancés, donc pas vraiment un scanner

Des idées ?

J.

[Kriss]

Hello,

Je suis assez curieux de savoir comment ça a été fait également...
L'énumeration d'extension avec des envois de INVITE ou REGISTER est clairement à laisser de coté... ce genre d'attaque peut tester des usernames à raison de +-200 users/seconde, soit des mois pour des user de 10 char...

Bref si tu finis par y voir plus clair, n'hésite pas à nous faire un retour

./Kriss

[quintana]

Faille dans ast2billing et il a récupérer la liste des username ? Ou un truc du genre ?
A mon avis c'est pas magique, il a du avoir eu accès au moins à ta liste de username. Sinon faille dans Asterisk quelques parts, mais ce qui est bizarre c'est que s'il a accès à ton username, il devrait surement avoir accès à ton pass. Sinon sniff de tes paquets SIP ? Ou alors un de tes clients en Izrael qui a perdu son password
Regardes les logs de ton serveur web pour les premières options et tftp ou ftp si tu en as un avec du provisioning distant ou un truc du genre.
Sinon il est devin et donc laisse le se connecter pour l'appeler et lui demander les prochains numéro du loto
D'ailleurs cela serait fun de faire un honey pot qui laisse n'importe qui se connecter et qu'il l'appel automatiquement pour lui dire que le FBI l'a repéré et qu'un F18 est entrain d'arriver

[Comdif]

Un conseil, si vous n'avez pas de clients Gaza ou Israel, bloquez toutes les IP
de ce pays, c'est le numéro un des attaques.
J'ai contrôlé plusieurs fois ce type d'attaque et chaque fois tombé sur le même type
de routeur Dlink (je crois) avec son login/password par défaut sans doute fournis par l'ISP, les pirates semblent utiliser ce type de routeur en proxy et l'IP n'est pas forcément l'auteur de la tentative.

[jean]

j'ai testé ma version a2billing avec detectify.com, et rien de dramatique trouvé.

j'ai commencé à implémenter des alertes quand un enregistrement arrive depuis un pays inhabituel. je vais effectivement renforcer mon controle...

par contre, pour le numéros du loto... c'est tentant !

[jean]

raahhh... un autre, meme scénario, direct avec le username et pas le bon mot de passe, f2b le dégomme.

j'ai regardé les logs de mon serveur a2billing - rien - quelques robots (70 hits en 3 semaines, dont la plupart avec ip google).

le compte utilisé est un poil différent du compte de la dernière fois, c'est un client qui a plusieurs comptes, qui ont des no proches, et donc je me demande si le client est pas en cause. j'ai une passerelle grandstream directement ouverte sur net sur un sdsl

j'ai regardé le blocage par pays, mais ca revient a insérer des tetrachiees de regles, et au dela de la perf, la lisibilité de l'iptables devient hard


je vais chercher un peu plus, mais je reste preneur de bonnes idees !

[Reaper]

La bonne idée c'est de changer de billing.

[Comdif]

La première bonne idée basique est de ne pas envoyer les numéros de compte en callerid.

faire une recherche "exploit modele_de_gateway" sur google

un petit truc également que j'ai rajouté sur mes switch pour les comptes type résidentiels et entreprise, c'est l'obligation de s'enregistrer ensuite j'ai ajouté
une fonction dans l'AGI pour aller lire l'ip du register et la comparée a celle interceptée, si ca MATCH pas on dégage

[jean]

La bonne idée c'est de changer de billing.

j'ai aucun soucis avec a2billing.... tu peux développer ?

[jean]

La première bonne idée basique est de ne pas envoyer les numéros de compte en callerid.

c'est juste

faire une recherche "exploit modele_de_gateway" sur google

j'ai fait, je suis en train de creuser - rien d'immediat

un petit truc également que j'ai rajouté sur mes switch pour les comptes type résidentiels et entreprise, c'est l'obligation de s'enregistrer ensuite j'ai ajouté
une fonction dans l'AGI pour aller lire l'ip du register et la comparée a celle interceptée, si ca MATCH pas on dégage

je comprends pas à quoi tu compares l'IP dans le register ?