ADSL-BC

[Lysanxia]

Mon compte de téléphonie OVH a été piraté.

Résultat : 260 euros de frais en une seule nuit, pour des appels vers l'Afrique.

Les pirates ont utilisés mes IDs et mot de passe pour se connecter au serveur OVH.
J'ai appelé le service technique d'OVH qui m'a conseillé de filtrer les appels par IP, et donc de n'autoriser que ma seule IP pour les appels.
J'ai aussi appliqué différents filtres, pour n'autoriser les appels que vers la Belgique.

Si vous avez vous aussi un compte VOIP, pensez à appliquer des filtres pour limiter les appels, avant qu'il soit trop tard !

Chez OVH, il suffit d'aller dans le manager -> téléphonie -> gestion -> blocage par IP ou filtrage des appels

[GregLu]

C'est quand même dingue ce genre de truc, OVH devrait restreindre d'office ce genre de chose et surtout faire un geste commercial !

[mackguil]

c'est tout de même bizarre ton montant par défaut est bloqué à 150 HT

Code : Tout sélectionner

]Informations
Votre limite actuelle est de :   150,00 € HT

Votre hors forfait autorisé actuel est de :   150,00 € HT
Votre hors forfait global actuel est de :   0.000 € HT


Encore une de tes incompréhensibles incohérences ?

[Lysanxia]

c'est tout de même bizarre ton montant par défaut est bloqué à 150 HT

Code : Tout sélectionner

]Informations
Votre limite actuelle est de :   150,00 € HT

Votre hors forfait autorisé actuel est de :   150,00 € HT
Votre hors forfait global actuel est de :   0.000 € HT


Encore une de tes incompréhensibles incohérences ?

Arrête de mordre, j'ai deux comptes.
Et voilà, tout.
Une fois arrivé à 80 % du plafond, OVH bloque le pays de destination qui est appelé trop souvent. Mais les autres pays restent ouverts.
Je considère que le plafond est trop haut, et que la mesure de blocage est insuffisante. OVH m'envoie un mail à 2h05 pour m'informer d'un problème. Il bloque le pays en question (00231), mais laisse les appels continuer vers d'autres pays. Et jusque 6 heures du matin, des appels sont faits vers un autre pays, jusqu'à ce qu'il soit bloqué à son tour. Et à ce stade les pirates abandonnent ou ils vont faire dodo.

"Nous avons découvert le comportement suspect suivant :
* Utilisation non-conforme, abusive ou constituant un danger pour les installations d'OVH.

Les services suivants sont concernés :
00328********

Par précaution, nous avons procédé au blocage des destinations suivantes :
00231

Nous vous invitons à confirmer ou infirmer ces destinations depuis votre manager,"

[Lysanxia]

J'ignore toujours comment le pirate a fait.
Le plus vraisemblable, c'est qu'il se soit introduit dans mon interface. Il aurait pu récupérer le ID et mot de passe. Ce qui est bizarre, c'est que dans la page de setup, on voit bien l'ID, mais le mot de passe n'apparait pas en clair.
Il semblerait donc qu'il y ait une faille de sécurité dans ce genre de matériel (Grandstream 702)

[Allen]

Merci de la mise en garde... J'ai juste autorisé nationaux + France.
Une idée de la manière dont ils ont pu chopper tes id's ?

Via le manager (certains), ils auraient pu modifier des mots de passe... Mais en théorie pas les récupérer. Mais alors tu n'aurais plus eu accès et t'en serait rendu compte...

Grandstream 702 ? Fourni par ovh ? C'est pas eux qui gère la mise à jour justement à distance, vu qu'il leur appartient ?

Si tu es sous bbox 2, tu peux toujours l'utiliser comme box VOIP, avec des tel analogiques...

[Lysanxia]

Grandstream 702 ? Fourni par ovh ? C'est pas eux qui gère la mise à jour justement à distance, vu qu'il leur appartient ?

Non c'est un matériel acheté, mises à jour désactivées.
Et chose bizarre, les settings ont changé : son adresse IP a changé (il était en fixe) et est passée de 192.168.0.35 à 192.168.0.5
Et je n'arrive plus du tout à y accéder ! Si je tape l'adresse dans mon brower j'obtiens une erreur.

[mackguil]

Mord pas, je constate tes inepties !

Et pour ton info la limitation est sur le groupe et pas sur le numéro donc un ou plusieurs numéros, la limite est la même.

[Lysanxia]

Mord pas, je constate tes inepties !

Et pour ton info la limitation est sur le groupe et pas sur le numéro donc un ou plusieurs numéros, la limite est la même.

Oui mais j'ai deux groupes. En fait, un groupe est créé pour chaque nouvelle ligne, si je ne m'abuse

Il n'y a aucune ineptie de ma part, je suis rigoureux, et si tu prends mes fantaisies pour de la bêtise, je n'y peux rien.
On peut être rigoureux et savoir délirer, sache-le.
Mais dans ce cas-ci c'est du sérieux.

Hélas, j'avais deux comptes, deux groupes, et un interface qui permet d'avoir deux comptes en même temps actifs !

[Allen]

Grandstream 702 ? Fourni par ovh ? C'est pas eux qui gère la mise à jour justement à distance, vu qu'il leur appartient ?

Non c'est un matériel acheté, mises à jour désactivées.
Et chose bizarre, les settings ont changé : son adresse IP a changé (il était en fixe) et est passée de 192.168.0.35 à 192.168.0.5
Et je n'arrive plus du tout à y accéder ! Si je tape l'adresse dans mon brower j'obtiens une erreur.

Mises à jour désactivées

Bon ben, je pense que tu as sans doute identifié la source du problème.... J'imagine que comme tout téléphone VOIP, y avait une interface web ? Redirection NAT activée sur ton routeur pour administration à distance ? Si tu réponds oui à ces deux questions... OUPS...

[Lysanxia]

Bon ben, je pense que tu as sans doute identifié la source du problème.... J'imagine que comme tout téléphone VOIP, y avait une interface web ? Redirection NAT activée sur ton routeur pour administration à distance ? Si tu réponds oui à ces deux questions... OUPS...

Non, pas d'admin à distance, et le mot de passe SIP n’apparait pas. Même moi je ne pourrais le retrouver, ni dans l'admin de l'interface, ni dans le manager OVH (il est remplacé par des ******)

[Allen]

Bon ben, je pense que tu as sans doute identifié la source du problème.... J'imagine que comme tout téléphone VOIP, y avait une interface web ? Redirection NAT activée sur ton routeur pour administration à distance ? Si tu réponds oui à ces deux questions... OUPS...

Non, pas d'admin à distance, et le mot de passe SIP n’apparait pas. Même moi je ne pourrais le retrouver, ni dans l'admin de l'interface, ni dans le manager OVH (il est remplacé par des ******)

Si il a changé d'ip, c'est que quelqu'un est parvenu à y accéder, d'une manière ou d'une autre... A partir de là, c'est qu'il y a une faille dans le tel. Et si il est parvenu à l'administrer, il a peut être un moyen de récupérer le mot de passe... Juste ce qui m'étonne, c'est que tu n'ai pas pu été la cible hasardeuse d'une attaque de masse sur le port par défaut puisque tu n'a pas de redirection sur le routeur... M'enfin, j'suis pas un spécialiste en piratage...

De mon coté, tout log in sur mon administration ovh m'envoye une notification par mail.. Tu devrais peut être activer l'option aussi...

[psyko]

Et si il a piqué les identifiants du compte c'est plus facile même si on met un filtre ou un limite ça sera changé ...

[Allen]

En effet, du coup si j'étais toi :
- mise à jour du tel voip (aprés hard reset si t'y a plus accès);
- changement du mot de passe de ton compte ovh (+ notification de connexion);
- changement de ton mot de passe de ton compte voip;
- changement du mot de passe d'administration du tel;
- sécurisation de ton routeur.

Founisseur d'accès ? Chez Mobistar l'IP est presque fixe (très peu de changement d'ip constaté chez un pote) ?

[fbX]

Bon à savoir en tout cas, moi qui pensait installer une ligne ds ma future barak', je ferai attention à ces paramètres-là !
thx & bon courage dans ton investigation/sécurisation

[mackguil]

Bon à savoir en tout cas, moi qui pensait installer une ligne ds ma future barak', je ferai attention à ces paramètres-là !
thx & bon courage dans ton investigation/sécurisation

Avec un minimum de précaution c'est très rare le piratage des lignes, installe donc en réfléchissant à la sécurisation tous les tuto sont sur le site d'ovh et très facile à mettre en place.

Une sécurisation de ligne c'est 30 minutes en lisant normalement.

[Taraceboulba]

ça arrive à d'autres
un exemple ici
http://forum.ovh.com/showthread.php?707 ... compte-SIP

[mackguil]

ça arrive à d'autres
un exemple ici
http://forum.ovh.com/showthread.php?707 ... compte-SIP

Lit le lien que tu viens de poster et ils y parlent de problème de configuration d'élastix (j'ai survolé) comme je dit plus haut avec un minimum de précaution, tu sauve les meubles, évidement si ils laissent les fichiers de configuration en clair sur le net faut pas qu'ils s'étonnent et un'autre s'est fait piquer le mots de passe dans un mail...

[Lysanxia]

ça arrive à d'autres
un exemple ici
http://forum.ovh.com/showthread.php?707 ... compte-SIP

Merci, c'est intéressant.

Mon compte OVH n'a pas été piraté, c'est mon compte SIP qui l'a été.
Si le compte OVH avait été piraté, le hacker aurait dû changer le mot de passe SIP pour téléphoner. En effet, la consultation du manager OVH ne permet pas de retrouver le mot de passe SIP, qui est remplacé par des étoiles.
La seule possibilité, c'est que le hacker se soit introduit dans mon tel, et qu'il ait volé les codes à cet endroit.
Mais là aussi, le mot de passe SIP n'apparait pas.
Alors de deux chose l'une : soit ce matériel a une faille de sécurité qui permet de récupérer le mot de passe.
Ou peut-être, le hacker a changé l'adresse du serveur sip.ovh.be pour mettre l'adresse d'un serveur à lui. Puis il a récupéré le mot de passe d'après les tentatives de connexions à son serveur.

[Le Dam]

Tiens, OVH s'est fait piquer sa database il y a quelques mois non ?
Faudrait peut-être leur mettre ça dans les dents avant de payer la note...