Affichage des résultats 1 à 10 sur 13

Discussion: piratage via tiers

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0

    piratage via tiers

    apres 5 ans de tranquilite, et en dépit de ma signature, je viens de me faire pirater pour la première fois... et je comprends pas comment....

    => mon asterisk a reçu quelques centaines d'appel par un trunk d'un site client enregistré extérieur:

    (pabx classique) <=> (passerelle patton) <=> internet <=> asterisk

    les appels sont arrivés via l'ip du trunk configuré pour la patton. pas un message d'erreur, rien, direct les appels. la patton s'enregistre en dynamic, donc une fois l'enregistrement fait, tout ce qui vient de cette ip/port est routé.
    les appels présentent un from à la noix (genre 'asr100', ou '1004') et les appels vont vers l'europe, l'afrrique, la bosnie, le costa rica, palestine (j'en passe et des meilleures) - je doute franchement que cela soit une fraude interne chez mon client.

    les callerid montrent que ca vient pas de la config classique de la passerelle, des erreurs de codec en pagaille me montrent la bonne ip du site client, à part ma passerelle, y'a pas de voip sur le site distant (c'est un magasin dans un centre commercial...). j'ai peine à croire à une attaque MITM car tout le trafic IP est local - et on voit nettement que le hacker recherche le format pour des appels internationaux, et ne fait que de l'international.

    à part le fait que le gars soit rentré sur la passerelle, je comprends pas comment il m'envoie des paquets provenant de la bonne ip / bon port, et y répond (l'effronté)

    toutes vos idées sont les bienvenues......

    :-)

  2. #2
    Membre Association Avatar de quintana
    Date d'inscription
    août 2010
    Localisation
    Québec
    Messages
    1 084
    Downloads
    0
    Uploads
    0
    Version d'asterisk ?
    Car vu les failles corrigées il a juste pu utiliser un exploit.
    Découvrez Wazo sous licence GPLv3 et accessible pour tous : http://www.wazo.community
    Blog Wazo : http://blog.wazo.community
    Wazo est un fork de XiVO.
    Suivez moi sur Twitter !

  3. #3
    Asterisk Fan Avatar de fastm3
    Date d'inscription
    août 2010
    Localisation
    Corbeil Essonnes (91)
    Messages
    1 302
    Downloads
    1
    Uploads
    1
    Citation Envoyé par jean Voir le message
    à part le fait que le gars soit rentré sur la passerelle, je comprends pas comment il m'envoie des paquets provenant de la bonne ip / bon port, et y répond (l'effronté)
    Il passe par la patton, ca semble le plus probable , non ?
    Faudrait voir la config de la patton, version...
    S'il a tout bêtement reussi a s'enregistrer dessus....
    J'activerai les logs sur patton et recupererai ceux-ci. Je crois qu'on peut rediriger cela vers un syslog. Ca permettrait de valider l'hypothese. ( on simulera les appels vers une fake destination pour observer le hacker )
    Francois.

  4. #4
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    la version d'asterisk est 1.6.1.20 - c'est vieux....

    je pense effectivement que ca a à voir avec la patton... mais il y a un pbm au niveau du lan du site, le hacker rentre d'abord sur le site, puis ressort par la patton. je vais aller voir tout à l'heure

  5. #5
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    le gars vient de recommencer, c'est le user agent de la patton dans les logs asterisk.... je vais sur site pour chopper les logs de la patton meme

  6. #6
    Membre Senior
    Date d'inscription
    janvier 2011
    Localisation
    Villejuif 94
    Messages
    337
    Downloads
    0
    Uploads
    0
    J'ai déjà été confronté à un piratage par l'intermédiaire d'une Patton. Par défaut elle acceptait tous les appels venant du réseau local et effectivement le/les pirates, sûrement un réseau de bots, rebondissait par un routeur mal configuré. La destination principale visée était un site de jeu en ligne.

  7. #7
    Membre Association Avatar de quintana
    Date d'inscription
    août 2010
    Localisation
    Québec
    Messages
    1 084
    Downloads
    0
    Uploads
    0
    Sur ton schéma je vois internet -- asterisk donc est-ce que ton Asterisk est ouvert sur internet directement ? Il y a pas mal de faille remote sur Asterisk qui ont été corrigé (peut être pas toutes en passant), il faut mettre aussi à jour Asterisk car sinon quelqu'un peut exploiter les failles et avoir les infos qui vont bien. Il faut que tu sois sûr que tout est bloqué. Sinon si la patton est accessible aussi, il y a en effet un risque, pourquoi ne pas mettre un firewall est autorisé juste ton trafic opérateur ?
    Découvrez Wazo sous licence GPLv3 et accessible pour tous : http://www.wazo.community
    Blog Wazo : http://blog.wazo.community
    Wazo est un fork de XiVO.
    Suivez moi sur Twitter !

  8. #8
    Membre Senior
    Date d'inscription
    septembre 2010
    Messages
    410
    Downloads
    1
    Uploads
    0
    Ca peut pas venir du PABX par hasard (par un renvoi par exemple). C'est quel modèle le PABX ?

  9. #9
    Membre Senior
    Date d'inscription
    septembre 2010
    Localisation
    Where the sun shines
    Messages
    1 418
    Downloads
    0
    Uploads
    0
    Citation Envoyé par olppp Voir le message
    J'ai déjà été confronté à un piratage par l'intermédiaire d'une Patton. Par défaut elle acceptait tous les appels venant du réseau local et effectivement le/les pirates, sûrement un réseau de bots, rebondissait par un routeur mal configuré. La destination principale visée était un site de jeu en ligne.
    C'est exactement ca.... j'ai pu analyser, et un simple INVITE d'un client LAN ressort par le trunk sip configuré sur la patton....

    comment as tu modifié la config pour bloquer ca ??? je vois vraiment pas ce que je peux changer !

  10. #10
    Membre Senior
    Date d'inscription
    janvier 2011
    Localisation
    Villejuif 94
    Messages
    337
    Downloads
    0
    Uploads
    0
    La Patton a été basculé dans un vlan privé qu'elle partage avec le serveur Asterisk. Ce n'est pas le top, le mieux serait de configurer les routes et les acl sur la Patton ;mais je manque de connaissance là-dessus. J'ai repris une configuration existante.

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •