ADSL-BC

Bonjour à tous,

J'ai un client qui possède une BBOX2 et qui a un boîtier qui lui permet de connecter sa vieille centrale ISDN forum sur la bbox. Le réseau ISDN n'étant plus maintenu, il passe donc en VOIP si je comprends bien?

Je lui ai installé un Asterisk en // de sa centrale qui sera coupée dans qq mois avec de nouveaux numéros 3 stars et un user local (extension 3 chiffres) a été hacké. J'admets j'ai foiré sur un login de test en laissant un pass facile à trouver oops.

Ce que je ne comprends pas c'est que je n'ai pas fait de nat entre l'ipbx et l'extérieur. Comment a t'on pu utiliser un compte local du pbx? Je ne touche pas à la bbox surtout au niveau du firewall.

C'est comme ci si le pbx était carrément passé en DMZ!!!

AMI est activé ?

J'utilise une version GUI sur un Synology

Je viens de me connecter à l'instant; bbox2 firewall typical security, aucune NAT vers l'ip du pbx, rien en DMZ.

Je me demande si un petit malin n'avait pas déjà accès au réseau wifi du client.

J'ai scanné les ports et on me dit host seems down rien d'ouvert sauf le 1723. Là aussi ai regardé les logs je ne vois rien.

J'ai eu le mois dernier un pbx asterisk piraté sans aucune redirection de port.

Je n'ai pas compris non plus (enfin juste une petite idée) comment ils rentraient, mais la c'est ok je fais un tour dans les logs plusieurs fois par jour et plus d'appel passé.

Une faille sur asterisk ?

je pense à 2 trucs; soit j'ai qq qui entre sur le wi-fi (je dois regarder le log dhcp) ou alors c'est un pgm sur un pc qui sniffe les trames voip et les envoient à la manière d'un keyloger

ou la faille asterisk.

métier de con

L'ami d'asterisk est activé?

La faille, je n'ai rien trouver de connu à ce jour qui n'ait été patché en plus le serveur en question était à jour.

Quelle provider voip a été hacker ?

Concernant AMI voici les paramètres que j'ai dans manager.conf
http://demo.ovh.eu/fr/4052547ee937d69b52dc64f6fd55f891/

Désactive le si il n'est pas néccéssaire.

En plus l'admin à tout les droit en read and write

Y a t'il des fichier dans le dossier /etc/asterisk/manager.d ?

Possible d'avoir une copie de ton log master.csv (/var/log/asterisk/cdr-csv/master.csv)

J'ai désactivé l'interface graphique. J'ai mis multiplelogin à no.
J'ai bien vérifié les deny/permit.

Que me conseilles-tu de mettre pour l'admin, perso c'est une config de base, je n'ai rien modifié. J'ajoute aussi que j'ai modifié le password admin avec caractères spéciaux, ce que tu ne peux pas faire à l'installation dans le formulaire classique (only alphanum) !!! Voir ce lien pour ce que j'ai trouvé dans lemanager.d et le cdr-csv (sample, j'ai 400 lignes dans le même style) http://demo.ovh.eu/fr/fd162c853746fa6b9d2ff4033c026dc6

Merci!

wizz a écrit :Que me conseilles-tu de mettre pour l'admin, perso c'est une config de base, je n'ai rien modifié. J'ajoute aussi que j'ai modifié le password admin avec caractères spéciaux, ce que tu ne peux pas faire à l'installation dans le formulaire classique (only alphanum) !!! Voir ce lien pour ce que j'ai trouvé dans lemanager.d et le cdr-csv (sample, j'ai 400 lignes dans le même style) http://demo.ovh.eu/fr/fd162c853746fa6b9d2ff4033c026dc6

Merci!

Le manager quel est son utilité?

Si pas nécessaire,désactive le, il sert a contrôler asterisk via le port 5038 par défaut.

les fichiers que tu me joint ne sont pas exploitable en l'état.

Envoie moi les liens en mp mais joint des fichiers en txt ainsi que tes heures et jours de piratage, je chercherais comment le hack à eu lieu.

/etc/asterisk/manager.d/les fichiers présents

/var/log/asterisk/cdr-csv/master.csv avec les heures et jours de piratages

/var/log/asterisk/messags et message.1 ou .2 si il y en a aussi avec les heures et jours de hack