» Asterisk взлом

Всем привет! Ломанули VOIP атс на базе FreePBX (я конечно понимаю что система так скажем не самая безопасная) хотелось бы понять как они это сделали,чтоб исправить уязвимость.


Aug 29 23:42:27 localhost sudo: asterisk : TTY=unknown ; PWD=/var/www/html/admin ; USER=root ; COMMAND=/usr/bin/script -c adduser -g 0 -l -M demon; echo "demon:cacamaka" | chpasswd; echo "demon ALL=(ALL) ALL" >> /etc/sudoers; echo "AllowUsers root demon" >> /etc/ssh/sshd_config; service sshd restart;
Aug 29 23:42:28 localhost useradd[11169]: new user: name=demon, UID=500, GID=0, home=/home/demon, shell=/bin/bash

RETIVE
1) Веб-морда не должна висеть в открытую, ограничь например через Iptables
2) SSH на нестандартный порт
3) сложные логины/пароли + одинаковые ответы на несуществующий акк/неверный пароль
И по сути всё, вероятность взлома снизится на порядок.
Через форум искать уязвимости это из разряда телепатии, чаще всего ломают подбором паролей или через 0-day уязвимости (но с версии 12 про них не слышно, это к вопросу об обновлениях)

Спасибо! Так и сделаю.

Нда. Судя по логу какой-то скрипт из /var/www/html/admin позволил добавить пользователя demon, а потом и рутовые права. Ещё один плюс в пользу голого астера (без морды).

Переустановили дистрибутив, и позакрывали все порты нафиг. Сутки, пока полет нормальный.

RETIVE
1) если не нужен доступ извне - 5060 порт закрой отовсюду кроме своих локальных адресов и провайдера IP телефонии
2) используй fail2ban, настрой его "смотреть" лог астериска, подойдет даже встроенный asterisk-фильтр