Ola! Existiu um caso uma vez que peguei uma invasão em um trixbox que existia na verdade cadastrado na base dois usuarios, um o admin e o outro era um usuario padrao, algo como trixbox, webuser, webadmin, algo do genero! Na qual era uma senha nao cadastrada na instalação mas vinha padrao no sistema, com senha padrao! O engraçadinho viu esta vulneabilidade neste pabx e deitou e rolou!
Ve se não é o teu caso, checa se de fato só existe o usuario admin nesta interface web! Da uma boa checada nos logs do apache! Valeu -- Gian Nicodemus Analista de sistemas giannicode...@gmail.com Em 16 de junho de 2014 14:50, supo...@apexmic.com.br <supo...@apexmic.com.br > escreveu: > Boa tarde a todos da lista, > > estou narrando uma situação muito pitoresca que me ocorreu esta madrugada. > > Do nada nenhuma ligação se completava, fui checar o sip show registry e > vi que o meu login da operadora voip havia sido mudado para um endereço > estranho > > o registro estava saindo por uma pseudo operadora de fora do pais, logo > qualquer ligação que vc tentava sair do Elastix nao completava. Mudou > usuario, senha e operadora. Por sorte como minhas ligacoes saem com um > código diferente, seja quem for que tentou, caiu do cavalo. > > Alem de terem mudado a operadora, logaram com o primeiro ramal real da > lista de ramais do elastix e tentaram ligar para um numero que > possivelmente era de Sao Paulo, com varios prefixos, sem sucesso. Seja > quem for, fez o acesso para mudar estes dados pela interface web do > elastix, mas sem ataque de força bruta, pois o fail2ban teria barrado-o. > A conexão que fizeram na interface web era de uma conexão 3G do Egito, e > as tentativas de ligação por volta das 5 da manhã para esse suposto > numero de sao paulo, partiram de um IP do Brasil. > > Não existe registros de falha de acesso no asterisk, no ssh ou da > interface web, só ha um registro de conexão da interface web com um IP > do egito (possivelmente mascarado) > > Seja quem fez que fez isso, não fez ligação das minhas operadoras, mas > por via das dúvidas troquei a senha de todos os ramais, ssh, interface > web e das operadoras. É a primeira vez que isso me acontece. > > A pergunta é: alguém passou por isso? Essa senha do admin da interface > web só eu sei, logo o vazamento da senha seria impossível pois não > anotei em canto algum, não faço acesso pela interface web a quase um mês > de fora da minha rede, mesmo que fosse, o IP mudou na última quinta-feira. > > Não achei rastros no log do ssh (se ele tivesse logado e tentado apagar > os rastros eu saberia, pois quando alguém loga no ssh eu recebo uma > notificação na mesma hora) Toda ligação que passa, o elastix grava o audio. > > Como eu disse, é uma situação bem pitoresca, pois o atacante não tentou > ligar das operadoras que tenho no elastix. > > _______________________________________________ > > WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu > conhecimento na tecnologia e portfólio Khomp. Próxima edição > em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. > Garanta a sua vaga e saiba mais em: www.workoffee.com.br > _______________________________________________ > ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia > IP . > Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Banco de Canais Analógicos – Appliance Asterisk > Acesse www.aligera.com.br > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >
_______________________________________________ WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu conhecimento na tecnologia e portfólio Khomp. Próxima edição em BELO HORIZONTE, 26 de junho. Inscrições GRATUITAS. Garanta a sua vaga e saiba mais em: www.workoffee.com.br _______________________________________________ ALIGERA Fabricante e desenvolvedor nacional de Soluções para telefonia IP . Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Banco de Canais Analógicos Appliance Asterisk Acesse www.aligera.com.br _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org