FreeSWITCH exploit?

CentOS release 5.6 x86_64

Актуальная версия, если что, 5.8

как сказали выше - обновись сначала

Ломанули учётку походу. А зачем 5060 порт (или какой профиль смотрит наружу) выставлять-то наружу, а? Да и версия у вас наидревнейшая. Логи бы выложили чтоль?

на сервер никто не логинился в это время (при логине по ssh отправляется сообщение так что даже если логи потёрли то было бы видно)

стоит FreeSWITCH Version 1.0.4

Это очень старая и неподдерживаемая версия.

Кроме того, ты уверен, что сам по себе фрисвитч правильно настроен? А то может просто разрешено принимать звонки от незарегистрированных точек.

думаю смена стандартного порта задержит злоумышленика секунды на пол) а ломанули выходит не учётку а сам фрисвич, т.к. в логах не было сообщения о подтверждении входа... причём после того как получили канал звонили от имени учёток, которых даже в конфигах фрисвича не было сообщений об уязвимостях я вобще не нашел, так что далеко не факт что в новых версиях это пофиксили

вот кусок логов, там видно непонятные манипуляции «Send challenge for...» и потом без сообщения «Register:» кто-то с eyeBeam получил канал

22:03:36.640546 [DEBUG] sofia_reg.c:1056 Requesting Registration from: [xx@y.y.y.y] 22:03:36.786545 [DEBUG] sofia_reg.c:1033 Send challenge for [xx@y.y.y.y] 22:03:40.137527 [DEBUG] sofia.c:4628 IP 37.8.111.51 Rejected by acl «domains». Falling back to Digest auth. 22:03:40.401537 [DEBUG] sofia.c:4628 IP 37.8.111.51 Rejected by acl «domains». Falling back to Digest auth. 22:03:40.401537 [DEBUG] sofia_reg.c:1033 Send challenge for [00972592720900@y.y.y.y] 22:03:45.868520 [DEBUG] sofia_reg.c:1056 Requesting Registration from: [xx@y.y.y.y] 22:03:46.13511 [DEBUG] sofia_reg.c:1033 Send challenge for [xx@y.y.y.y] 22:03:48.329496 [DEBUG] sofia.c:4628 IP 37.8.111.51 Rejected by acl «domains». Falling back to Digest auth. 22:03:48.524511 [DEBUG] sofia.c:4628 IP 37.8.111.51 Rejected by acl «domains». Falling back to Digest auth. 22:03:48.525499 [DEBUG] sofia_reg.c:1033 Send challenge for [00970592720900@y.y.y.y] 22:03:57.460431 [NOTICE] switch_channel.c:602 New Channel sofia/external/xx@y.y.y.y 22:03:57.460431 [DEBUG] sofia.c:3289 Channel sofia/external/xx@y.y.y.y entering state [received][100] 22:03:57.460431 [DEBUG] sofia.c:3296 Remote SDP: v=0 o=- 9631799 9631913 IN IP4 192.168.1.103 s=eyeBeam c=IN IP4 192.168.1.103

Кроме того, ты уверен, что сам по себе фрисвитч правильно настроен? А то может просто разрешено принимать звонки от незарегистрированных точек.

не подскажешь где это в конфиге? не думаю что по умолчанию разрешено принимать без регистрации

Если мы говорим о телефонии, то и имеется в виду учётка пользователя на сервере телефонии. Какие пароля у вас там? Я ещё раз спрашиваю, зачем порт 5060 выставили наружу? А сюдя по логам, у вас там internal profile торчит, посколько auth-calls=true и apply-inbound-acl=domains.

Поменяйте все пароли, обновите фрисвитч. Из логов же явно видно, что пытаются зарегится sofia_reg.c, а так же шлют инвайт, на что указывает sofia.c. Потом таки удаётся совершить звонок - вывод, при беглом просмотре, ломанули учётку со слабым паролем. И я бы на вашем месте не судил бы о качестве устриц.

sofia status profile internal reg или show registrations что показывает? левые клиенты есть?

В двух словах вашу конфигурацию АТС.

порт на ружу т.к. сервер удалённый, пользователи тудой ходят. пароли относительно простые но судя по логам не по паролю зашли. стоит auth-calls=false и apply-inbound-acl=lan(в event_socket.conf.xml) apply-inbound-acl=domains (в internal.xml)

фрисвич сча выключен, после взлома левых регистраций не видел

client--internet--freeswitch--internet--other soft switch

Сколько пользователей? С какого аккаунта звонили? Подгружен ли модуль mod_cdr_csv, посмотрите статистику в Master.csv. У вас реализован CDR?

десяток юзеров, звонили из-под 1, 45563, 9... CDR-ки пишет, звук тоже пишет. в Master.csv звонки есть

«Domen2-subskribe1»,«Domen2-subskribe1»,«25240112011»,«default»,«2012-07-05 03:37:01»

«44»,«44»,«25240112007»,«default»,«2012-07-05 03:28:24»,«2012-07-05 03:28:25»,«2012-07-05 03:52:03»

ну так поменяй пароль, хотя бы.

этих учёток нет в настройках, под дефолтным паролем на не существующих юзеров тоже не пускает. не понятно что менять) не подскажете где в конфиге настраивается приём звонков от не зарегистрированных юзеров?

дай вывод f5 в fs_cli

external profile sip:mod_sofia@{external_ip}:5080 RUNNING (0)

*** gateway sip:74957654322@*** NOREG

*** gateway sip:74957654321@*** NOREG

internal profile sip:mod_sofia@{external_ip}:5060 RUNNING (0)

{external_ip} alias internal ALIASED

какой порт открыт/прокинут?

по стандартному всё, 5060

конфиг interna.xml стандартный? запости на paste.ubuntu.com (подсветка xml)

вроде стандартный http://paste.ubuntu.com/1101719/

Если $${internal_auth_calls} в vars.conf = true, а оно судя по логам так и есть, то предположение, что всё таки ломанули учётку, поскольку на любой инвайт FS выдаёт 407 Proxy Authentication Requared, а так же на REGISTER - 401. Посему для toll fraud злоумышленнику необходимо подобрать пароль. Вывод: таки подобрали. Решение:

• Обновить FS
• Сменить все пароли пользователей ($${base_dir}/conf/directory)
• Установить fail2ban http://wiki.freeswitch.org/wiki/Fail2ban

да, <X-PRE-PROCESS cmd=«set» data=«internal_auth_calls=true»/>

спасибо за советы, но меня больше интиресует вопрос как могли звонить с учёток Domen2-subskribe1 или 44 если для них даже конфигов нету...

на любой инвайт FS выдаёт 407 Proxy Authentication Requared

тоесть без регистрации не должен пускать

Выложи кусок Master.csv на пастербин.

вот http://paste.ubuntu.com/1109668/

Ну чё - ломанули учётку/учётки и позвонили в сомали, израйль, монако, делов то, с кем не бывает. Дай вывод

ls -l /usr/local/freeswitch/conf/directory/default/

И, да, пароли то сменил?

обычные учётки там, юзера Domen2-subskribe1 уж точно нету http://paste.ubuntu.com/1111592/

мне вобще стёмно его использовать тепрь. нет никакой уверенности что в новой версии починили. и какой смысл менять пароли учёткам если звонили с других...

Какой ещё Domen2-subskribe1?

"100","100","25240910618","default","2012-07-05 04:00:56","2012-07-05 04:00:57","2012-07-05 04:01:23","27","26","NORMAL_CLEARING","a3447808-c64d-11e1-8477-9751ddd8ec83","a346c98c-c64d-11e1-8477-9751ddd8ec83","","PCMU","PCMU"                                                                                                                                                            

С какой учётки звонят в Сомали, а?

я выше приводил пример, вот пару звонков http://paste.ubuntu.com/1113341/

и всё тот же вопрс - как вобще могли звонить с учёток, которых нет в конфиге??

Вы бы сначала разобрались в ситуации и не делали таких голословных выводов.

Первое, что надо понять - это как формируются отчёт Master.csv и то, что в качестве ${caller_id_name} UAC (User agent client) может подставить что угодно. Короче, тебя поимели через хуёвые пароли. Точка. Хватит здесь рассусоливать, смени пароли, обнови фрисвитч. Спецы развелись, ёпт.

понял, спасибо

и с праздником ;)