LINUX.ORG.RU

Безопасность Астериска и Эластикса

 , ,


1

1

Сап, лор.

Держу VPS-ку с эластиксом для нужд своих, ломают второй раз. В результате взлома появились 2 экстеншена и через них с десятка два неотвеченных звонков на 25-30 значные номера.

На серваке стоит fail2ban, банит кривые авторизации по SIP, банит SSH. Апач висит на совсем нестандартном порту.

Через что эту хрень ломают? ПОнять уже не могу. Взлом-то явно не брутфорсом.

Вебморда? Там были занятные косяки раньше типа забил 5-6 команд с кривой авторизацией, а потом как админ с нормальной зашёл- все команды выполнились

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от upcFrost

Морда мордой, но висит она на 8000-м порту. Они все порты перебирали, что ли?

Llevellyn ()

можешь скинуть IP и коллективный разум лора тебе поможет.

Покажи выхлоп

 netstat -tunelp

Какая версия у elasticsearch? Он слушает наружу? Я надеюсь авторизация по пользователям стоит.

snaf ★★★★★ ()
Последнее исправление: snaf (всего исправлений: 1)
Ответ на: комментарий от snaf

+1, давай адрес, подолбим. Потом порт сменить не забудь. И кстати - у тебя правда вебморда наружу смотрит.

Если адрес давать лень- подними Metasploit и потыкай им сервак, там вроде под астер тоже были вещи. Ну и кури логи всего и всех

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 2)
Ответ на: комментарий от upcFrost

Айпишник светить нет желания.

Вебморду на 8444 перевесил. Для эластикса это не защита? Закрывать вообще?

Llevellyn ()

Я поставил дырявое дерьмо, скажите мне почему меня сломали?

zgen ★★★★★ ()
Ответ на: комментарий от Llevellyn

Причем тут elasticsearch?

мдам.. я быстро прошёлся глазами и подумал что речь идёт о elasticsearch =)

snaf ★★★★★ ()
Ответ на: комментарий от Llevellyn

Вебморду на 8444 перевесил. Для эластикса это не защита? Закрывать вообще?

портскан его найдет хоть на 8444, хоть на 1234, это не важно. Есть ли вообще реальная необходимость выставлять пыхоморду дыркой наружу? Если ну ваще ппц как хочется чтоб была вебморда - ну порт в ssh прокинешь на худой конец. Поставь доступ только с локальной подсети

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.