Affichage des résultats 1 à 9 sur 9

Discussion: hack domaine email elastix

  1. #1
    Membre
    Date d'inscription
    novembre 2010
    Localisation
    Mesquer 44
    Messages
    50
    Downloads
    1
    Uploads
    0

    hack domaine email elastix

    bonjour tout le monde,
    je me suis apercu hier que je me suis fait hacker mon elastix malgré un firewall en place, donc avant ou après la mise en place je ne saurais trop le dire.

    je me retrouve avec 2 domaines email et impossible de les virer via l'admin.
    j'ai regardé dans postfix, trouvé un domaine, mais rien dans la bdd.
    ou puis je trouver ce domaine de dans la bdd?
    merci d'avance

  2. #2
    Membre Association Avatar de hb22
    Date d'inscription
    septembre 2010
    Localisation
    Guingamp
    Messages
    240
    Downloads
    0
    Uploads
    0
    La config de postfix est dans /etc/postfix/main.cf
    Il y a plein d'infos sur le net pour sécuriser Postfix.
    Mais la messagerie c'est encore un autre problème différent d'Asterisk.
    Je ne suis pas sur que tu vas trouver des spécialistes en Postfix sur ce forum.

    je me suis fait hacker mon elastix malgré un firewall en place
    Je suis quand même curieux de savoir comment le pirate est rentré.
    Tu peux poster ta config (réseau et firewall).

  3. #3
    Membre
    Date d'inscription
    novembre 2010
    Localisation
    Mesquer 44
    Messages
    50
    Downloads
    1
    Uploads
    0
    salut hb22,
    je gere assez bien postfix, mais la, j'avoue que j'ai pas trouvé la faille, donc ca a du se faire avant la mise en place du firewall.
    voici la config
    #!/bin/sh
    # description: Firewall


    IPT=/sbin/iptables


    stop() {
    $IPT -F INPUT
    $IPT -F LOG_DROP
    $IPT -X LOG_DROP
    }



    start() {
    # logs - drop
    # tout n'est pas necessaire, c'est juste le principe
    $IPT -N LOG_DROP
    $IPT -A LOG_DROP -j LOG -p tcp --dport 3306 --log-prefix '[IPTABLES DROP MYSQL] : '
    $IPT -A LOG_DROP -j LOG -p tcp --dport 22 --log-prefix '[IPTABLES DROP SSH] : '
    $IPT -A LOG_DROP -j LOG -p tcp --dport 10000 --log-prefix '[IPTABLES DROP WEBMIN] : '
    $IPT -A LOG_DROP -j LOG -p tcp --dport 5060 --log-prefix '[IPTABLES DROP SIP] : '
    $IPT -A LOG_DROP -j LOG -p tcp --dport 5038 --log-prefix '[IPTABLES DROP ASTMAN] : '
    $IPT -A LOG_DROP -j LOG -p tcp --log-prefix '[DROP] : '
    $IPT -A LOG_DROP -j REJECT



    # host a bannir
    # $IPT -A INPUT -i eth0 -p tcp --source x.x.x.x -j DROP

    $IPT -A INPUT -i eth0 -p all --source 194.51.85.76 -j DROP
    $IPT -A INPUT -i eth0 -p all --source ccc-hanau.de -j DROP
    $IPT -A INPUT -i eth0 -p all --source sinister.wzw.tum.de -j DROP
    $IPT -A INPUT -i eth0 -p all --source formularfetischisten.de -j DROP
    $IPT -A INPUT -i eth0 -p all --source TRADERHOUSE-DS.datagate.net.uk -j DROP


    # facultatif
    # on autorise tout ce qui vient du subnet, a adapter pour vous.
    # iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
    $IPT -A INPUT -s MONNDD -j ACCEPT
    iptables -A INPUT -s IPFIXEDUNAUTREPC -j ACCEPT
    $IPT -A INPUT -i eth0 -p all --source MONNDD -j ACCEPT

    #asterisk
    # supprime erreur dans log asterisk
    $IPT -A INPUT -p udp -m udp --dport 5060 -m string --string "Cirpack KeepAlive Packet" --algo bm -j DROP


    # pour le port 5060 on autorise uniquement certaines ips
    # Tout le subnet, a dapter pour VOTRE config
    $IPT -A INPUT -s 192.168.2.0/24 -i eth0 -p udp --dport 5060 -j ACCEPT
    #on autorise certains fournisseurs sip
    #on ajoutera aussi ses propres ip externes
    #$IPT -A INPUT -s sip.ovh.net -i eth0 -p udp --dport 5060 -j ACCEPT
    #$IPT -A INPUT -s sip3.voip-centrex.net -i eth0 -p udp --dport 5060 -j ACCEPT
    #$IPT -A INPUT -s sip.intervoip.com -i eth0 -p udp --dport 5060 -j ACCEPT
    #$IPT -A INPUT -s sip.a.lomacom.com -i eth0 -p udp --dport 5060 -j ACCEPT
    #$IPT -A INPUT -s freephonie.net -i eth0 -p udp --dport 5060 -j ACCEPT
    $IPT -A INPUT -s ippi.fr -i eth0 -p udp --dport 5060 -j ACCEPT
    $IPT -A INPUT -i eth0 -p tcp --dport 5060 -j LOG_DROP
    $IPT -A INPUT -i eth0 -p udp --dport 5060 -j LOG_DROP
    $IPT -A INPUT -s MONDNNDD -i eth0 -p udp --dport 22 -j ACCEPT
    $IPT -A INPUT -s MONNDD -i eth0 -p tcp --dport 22 -j ACCEPT


    $IPT -A INPUT -i eth0 -p udp -m udp --dport 10000:11000 -j ACCEPT


    # Le reste est fonction de votre config, juste pour info
    # si vous autorisez le subnetlocal, juste ssh est necessaire normalement.
    # On le mettra sur un autre port de preference.
    # on pourra limiter l'acces ssh a certaines ips avec la meme methode que ci dessus
    $IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
    $IPT -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
    $IPT -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
    $IPT -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
    $IPT -A INPUT -i eth0 -p tcp --dport 110 -j DROP
    $IPT -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
    $IPT -A INPUT -i eth0 -p tcp --dport 143 -j DROP
    $IPT -A INPUT -i eth0 -p tcp --dport 4025 -j DROP
    $IPT -A INPUT -i eth0 -p tcp --dport 21 -j DROP
    $IPT -A INPUT -i eth0 -p udp --dport 21 -j DROP

    $IPT -A INPUT -i eth0 -p tcp --dport 22 -j DROP
    $IPT -A INPUT -i eth0 -p udp --dport 22 -j DROP

    $IPT -A INPUT -i eth0 -p tcp --dport 1194 -j DROP
    $IPT -A INPUT -i eth0 -p udp --dport 1194 -j DROP

    $IPT -A INPUT -i eth0 -p tcp --dport 5038 -j DROP
    $IPT -A INPUT -i eth0 -p udp --dport 5038 -j DROP


    #ping
    $IPT -A INPUT -i eth0 -p icmp -j DROP

    # on rejette tout les autres
    $IPT -A INPUT -i eth0 -j LOG_DROP
    }

    case "$1" in

    start)
    start
    echo "FireWall Telisk -- Start OK";

    exit 0
    ;;


    stop)
    stop
    echo "FireWall Telisk -- Stop OK";
    exit 0
    ;;
    restart)
    stop
    start
    echo "FireWall Telisk -- Restart OK";

    exit 0
    ;;

    *)
    echo "Usage: /etc/init.d/firewall {start|stop|restart}"
    exit 1
    ;;
    esac

  4. #4
    Membre Association
    Date d'inscription
    août 2010
    Localisation
    région parisienne
    Messages
    386
    Downloads
    0
    Uploads
    0
    est ce que tu héberge des sites ou interfaces d'administration type phpmyadmin?

  5. #5
    Membre
    Date d'inscription
    novembre 2010
    Localisation
    Mesquer 44
    Messages
    50
    Downloads
    1
    Uploads
    0
    non pas sur ce server, uniquement reservé a asterisk pour plus de securité

  6. #6
    Membre Association
    Date d'inscription
    septembre 2010
    Localisation
    SEINE ET MARNE
    Messages
    182
    Downloads
    0
    Uploads
    0
    Bonjour,

    Presque tout serveur ou service embarqué dans une machine peut se faire casser par un vilain et il est facilement possible de rebondir d'un machine plus faible mais dans le même réseau vers un serveur trop laxiste pour les attaques venant de l'intérieur (du LAN, pas du WAN).

    Il faudrait voir les logs, audits, connaître la totalité des services embarqués sur la totalité des serveurs et clients du réseau local pour tenter de se faire une idée.

    D'autant plus qu'un "bon" pirate efface ses traces après ses méfaits !

    En cas de doute et d'incompréhension du mécanisme de l'attaque, l'ensemble des machines du réseau doivent être considérées comme compromises. La seule solution dans ce cas, est une mise au rebut du parc, ou du moins son reformatage bas niveau et contrôle des médias de stockage de masse avant de remonter des OS et applications dessus.

    Bonne chance !

  7. #7
    Membre
    Date d'inscription
    novembre 2010
    Localisation
    Mesquer 44
    Messages
    50
    Downloads
    1
    Uploads
    0
    le server a été réinstallé ce midi, les attaques continuent évidemment, je surveille le réseau pour voir qui veut venir.
    je suis plus sur debian et freebsd que centos, mais bon la base du firewall est là.
    si vous voyez quelque chose a rajouter, n'hésitez pas.
    je viens de jeter un oeil sur les servers qui essayent de penetrer le systeme, évidemment des petits bip bip qui font du hack pour le plaisir.
    le ddos va sévir si ca continu avec ces binious

    petite question :
    est ce que certains d'entre vous ont déjà testé de mettre un astérisk derrière un pfsense RC2?

  8. #8
    Membre Association Avatar de hb22
    Date d'inscription
    septembre 2010
    Localisation
    Guingamp
    Messages
    240
    Downloads
    0
    Uploads
    0
    tcpdump sur les interfaces réseaux et ajout de règles en fonction des analyses de trames.

  9. #9
    Membre
    Date d'inscription
    novembre 2010
    Localisation
    Mesquer 44
    Messages
    50
    Downloads
    1
    Uploads
    0
    chose faite déjà plus iftop sur la carte réseau.

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •