Hack d'un PBX (firewall BBOX coupé?)

Une question sur un fournisseur de service VoIP?

Modérateur: Barbapapa

Hack d'un PBX (firewall BBOX coupé?)

Message par wizz » 13 Août 2015 14:56

Bonjour à tous,

J'ai un client qui possède une BBOX2 et qui a un boîtier qui lui permet de connecter sa vieille centrale ISDN forum sur la bbox. Le réseau ISDN n'étant plus maintenu, il passe donc en VOIP si je comprends bien?

Je lui ai installé un Asterisk en // de sa centrale qui sera coupée dans qq mois avec de nouveaux numéros 3 stars et un user local (extension 3 chiffres) a été hacké. J'admets j'ai foiré sur un login de test en laissant un pass facile à trouver oops.

Ce que je ne comprends pas c'est que je n'ai pas fait de nat entre l'ipbx et l'extérieur. Comment a t'on pu utiliser un compte local du pbx? Je ne touche pas à la bbox surtout au niveau du firewall.

C'est comme ci si le pbx était carrément passé en DMZ!!!
wizz
Membre
Membre
 
Message(s) : 176
Inscription : 21 Juin 2001 01:00

Re: Hack d'un PBX (firewall BBOX coupé?)

Message par mackguil » 13 Août 2015 15:43

AMI est activé ?
Avatar de l’utilisateur
mackguil
Vingt mille
Vingt mille
 
Message(s) : 21326
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: Hack d'un PBX (firewall BBOX coupé?)

Message par wizz » 13 Août 2015 16:25

J'utilise une version GUI sur un Synology

Je viens de me connecter à l'instant; bbox2 firewall typical security, aucune NAT vers l'ip du pbx, rien en DMZ.

Je me demande si un petit malin n'avait pas déjà accès au réseau wifi du client.

J'ai scanné les ports et on me dit host seems down rien d'ouvert sauf le 1723. Là aussi ai regardé les logs je ne vois rien.
wizz
Membre
Membre
 
Message(s) : 176
Inscription : 21 Juin 2001 01:00

Re: Hack d'un PBX (firewall BBOX coupé?)

Message par mackguil » 13 Août 2015 16:54

J'ai eu le mois dernier un pbx asterisk piraté sans aucune redirection de port.

Je n'ai pas compris non plus (enfin juste une petite idée) comment ils rentraient, mais la c'est ok je fais un tour dans les logs plusieurs fois par jour et plus d'appel passé.

Une faille sur asterisk ?
Avatar de l’utilisateur
mackguil
Vingt mille
Vingt mille
 
Message(s) : 21326
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: Hack d'un PBX (firewall BBOX coupé?)

Message par wizz » 13 Août 2015 17:01

je pense à 2 trucs; soit j'ai qq qui entre sur le wi-fi (je dois regarder le log dhcp) ou alors c'est un pgm sur un pc qui sniffe les trames voip et les envoient à la manière d'un keyloger

ou la faille asterisk.

métier de con ;)
wizz
Membre
Membre
 
Message(s) : 176
Inscription : 21 Juin 2001 01:00

Re: Hack d'un PBX (firewall BBOX coupé?)

Message par mackguil » 13 Août 2015 17:05

L'ami d'asterisk est activé?

La faille, je n'ai rien trouver de connu à ce jour qui n'ait été patché en plus le serveur en question était à jour.

Quelle provider voip a été hacker ?
Avatar de l’utilisateur
mackguil
Vingt mille
Vingt mille
 
Message(s) : 21326
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: Hack d'un PBX (firewall BBOX coupé?)

Message par wizz » 13 Août 2015 17:23

Concernant AMI voici les paramètres que j'ai dans manager.conf
http://demo.ovh.eu/fr/4052547ee937d69b52dc64f6fd55f891/
wizz
Membre
Membre
 
Message(s) : 176
Inscription : 21 Juin 2001 01:00

Re: Hack d'un PBX (firewall BBOX coupé?)

Message par mackguil » 13 Août 2015 17:47

Désactive le si il n'est pas néccéssaire.

En plus l'admin à tout les droit en read and write :-?

Y a t'il des fichier dans le dossier /etc/asterisk/manager.d ?

Possible d'avoir une copie de ton log master.csv (/var/log/asterisk/cdr-csv/master.csv)
Avatar de l’utilisateur
mackguil
Vingt mille
Vingt mille
 
Message(s) : 21326
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: Hack d'un PBX (firewall BBOX coupé?)

Message par wizz » 16 Août 2015 15:16

J'ai désactivé l'interface graphique. J'ai mis multiplelogin à no.
J'ai bien vérifié les deny/permit.

Que me conseilles-tu de mettre pour l'admin, perso c'est une config de base, je n'ai rien modifié. J'ajoute aussi que j'ai modifié le password admin avec caractères spéciaux, ce que tu ne peux pas faire à l'installation dans le formulaire classique (only alphanum) !!! Voir ce lien pour ce que j'ai trouvé dans lemanager.d et le cdr-csv (sample, j'ai 400 lignes dans le même style) http://demo.ovh.eu/fr/fd162c853746fa6b9d2ff4033c026dc6

Merci!
wizz
Membre
Membre
 
Message(s) : 176
Inscription : 21 Juin 2001 01:00

Re: Hack d'un PBX (firewall BBOX coupé?)

Message par mackguil » 16 Août 2015 18:02

wizz a écrit :Que me conseilles-tu de mettre pour l'admin, perso c'est une config de base, je n'ai rien modifié. J'ajoute aussi que j'ai modifié le password admin avec caractères spéciaux, ce que tu ne peux pas faire à l'installation dans le formulaire classique (only alphanum) !!! Voir ce lien pour ce que j'ai trouvé dans lemanager.d et le cdr-csv (sample, j'ai 400 lignes dans le même style) http://demo.ovh.eu/fr/fd162c853746fa6b9d2ff4033c026dc6

Merci!


Le manager quel est son utilité?

Si pas nécessaire,désactive le, il sert a contrôler asterisk via le port 5038 par défaut.

les fichiers que tu me joint ne sont pas exploitable en l'état. :(

Envoie moi les liens en mp mais joint des fichiers en txt ainsi que tes heures et jours de piratage, je chercherais comment le hack à eu lieu.

/etc/asterisk/manager.d/les fichiers présents

/var/log/asterisk/cdr-csv/master.csv avec les heures et jours de piratages

/var/log/asterisk/messags et message.1 ou .2 si il y en a aussi avec les heures et jours de hack
Avatar de l’utilisateur
mackguil
Vingt mille
Vingt mille
 
Message(s) : 21326
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium


Retour vers Fournisseurs

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit