Boa tarde, pessoal, tudo bem? Esse tipo de invasão vem via web, mude a porta de HTTPS, desative a porta de HTTP, se for invadido novamente rode esse Script
#!/bin/bash INICIO=`date +%d/%m/%Y-%H:%M:%S` LOG=/var/log/invazao`date +%d-%m-%Y`.txt echo " " >> $LOG echo " " >> $LOG echo "|--------------------------------------------" >> $LOG echo " PARAR HTTPD em $INICIO" >> $LOG service httpd stop >> $LOG FINAL=`date +%d/%m/%Y-%H:%M:%S` echo " PARAR HTTPD em $FINAL" >> $LOG echo "|--------------------------------------------" >> $LOG echo " " >> $LOG echo " " >> $LOG echo " " >> $LOG echo " " >> $LOG echo "|--------------------------------------------" >> $LOG echo " REMOVER A2BILLING E VTIGERCRM em $INICIO" >> $LOG rm /var/www/html/a2billing /var/lib/a2billing /var/run/a2billing /usr/share/a2billing /var/www/html/admin/modules/fw_ari -Rf >> $LOG FINAL=`date +%d/%m/%Y-%H:%M:%S` echo " REMOVER A2BILLING E VTIGERCRM em $FINAL" >> $LOG echo "|--------------------------------------------" >> $LOG echo " " >> $LOG echo " " >> $LOG ############################## INICIO=`date +%d/%m/%Y-%H:%M:%S` LOG=/var/log/invazao`date +%d-%m-%Y`.txt echo " " >> $LOG echo " " >> $LOG echo "|--------------------------------------------" >> $LOG echo " TROCA PORTA DE ACESSO WEB DE 443 PARA 55060 em $INICIO" >> $LOG sed -i 's/443/55060/g' /etc/httpd/conf.d/ssl.conf >> $LOG FINAL=`date +%d/%m/%Y-%H:%M:%S` echo " TROCA PORTA DE ACESSO WEB DE 443 PARA 55060 em $FINAL" >> $LOG echo "|--------------------------------------------" >> $LOG echo " " >> $LOG echo " " >> $LOG echo " " >> $LOG echo " " >> $LOG echo "|--------------------------------------------" >> $LOG echo " REMOVER CONTEXTO FROM-INTERNAL ERRADO $INICIO" >> $LOG sed -i '/thankuohoh/d' /etc/asterisk/extensions_custom.conf >> $LOG FINAL=`date +%d/%m/%Y-%H:%M:%S` echo " REMOVER CONTEXTO FROM-INTERNAL ERRADO em $FINAL" >> $LOG echo "|--------------------------------------------" >> $LOG echo " " >> $LOG echo " " >> $LOG ############################## INICIO=`date +%d/%m/%Y-%H:%M:%S` LOG=/var/log/invazao`date +%d-%m-%Y`.txt echo " " >> $LOG echo " " >> $LOG echo "|--------------------------------------------" >> $LOG echo " REINICIAR O ASTERISK em $INICIO" >> $LOG service asterisk restart >> $LOG FINAL=`date +%d/%m/%Y-%H:%M:%S` echo " REINICIAR O ASTERISK em $FINAL" >> $LOG echo "|--------------------------------------------" >> $LOG echo " " >> $LOG echo " " >> $LOG echo " " >> $LOG echo " " >> $LOG echo "|--------------------------------------------" >> $LOG echo " INICIAR HTTPD em $INICIO" >> $LOG service httpd start >> $LOG FINAL=`date +%d/%m/%Y-%H:%M:%S` echo " INICIAR HTTPD em $FINAL" >> $LOG echo "|--------------------------------------------" >> $LOG echo " " >> $LOG echo " " >> $LOG ############################## Abraços Em 30 de maio de 2018 21:45, Fabiano Souza de Azevedo <[email protected]> escreveu: > Prezado(a); > > Outra camada de segurança seria proteger o contexto onde é permitido fazer > ligações internacionais, limitar ramais que podem fazer DDI, colocar senha > antes de discar, definir horários. > > > Em 29 de maio de 2018 20:44, Welington F.J <[email protected]> > escreveu: > >> Olá, Boa noite. >> >> Primeiramente uma boa politica de senhas ajudaria, nada de senha >> sequencias, pequenas. >> >> outro ponto, seu fail2ban esta funcionando realmente? minha politica no >> fail2ban é errou a senha 1 vez block. >> >> Eu não uso issabel desenvolvi minha solução em cima do asterisk. >> >> >> ativa o modo debug >> >> sip set debug on >> >> >> >> Em 29 de maio de 2018 19:57, Samuel . <[email protected]> >> escreveu: >> >>> No seu relatório CDR, qual ramal realizou estas ligações? >>> >>> >>> >>> >>> >>> Att, >>> >>> Samuel . >>> >>> >>> ------------------------------ >>> *De:* [email protected] < >>> [email protected]> em nome de Iure da >>> Luz <[email protected]> >>> *Enviado:* terça-feira, 29 de maio de 2018 18:56 >>> *Para:* [email protected] >>> *Assunto:* [AsteriskBrasil] Invasão a Asterisk >>> >>> Pessoal, peguei várias tentativas de efetuar chamada aqui no nosso >>> Issabel, o fail2ban não conseguiu bloquear, e não existe indicação de >>> nenhum ramal ou extensão autenticada, consegui pegar o IP de origem atraves >>> do tcpdump e fiz o bloqueio no firewall, mas fica a pergunta, alguém sabe >>> como barrar? >>> >>> Segue o log: >>> >>> >>> https://pastebin.com/z14YfgPk >>> >>> >>> >>> <http://www.eletronluz.com.br/> >>> >>> >>> *Eletron Luz - Soluções em Tecnologia* >>> >>> Rua José Magalhães, 151A - Centro >>> Boa Vista - RR - Brasil >>> >>> Tel: 95 3224-7751 >>> >>> Fax: 95 3623-7751 >>> www.eletronluz.com.br >>> >>> >>> >>> *Iure da Luz* >>> >>> Diretor Comercial >>> >>> >>> Skype: iuredaluz >>> Fixo: 95 3198-8700 >>> >>> Móvel: 95 99902-3303 >>> >>> _______________________________________________ >>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1 >>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7 >>> Intercomunicador e acesso remoto via rede IP e telefones IP >>> Conheça todo o portfólio em www.Khomp.com >>> _______________________________________________ >>> Para remover seu email desta lista, basta enviar um email em branco para >>> [email protected] >>> >> >> >> >> -- >> Welington F.J >> BSD User: 51392 >> MSN: [email protected] >> flames > /dev/null (powered by Irado) >> "O profissional que conhece e sabe como funciona nunca se desespera!" >> Drogas ? Pra que? Já Tenho Meu Windows!! >> " ...e serás instável, trará o caos, destruição, dor e sofrimento a >> todos. Haverá choro e ranger de dentes" Apocalipse sobre Windows >> "Malandro é o cavalo marinho que se finge de peixe pra não puxar carroça". >> >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1 >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7 >> Intercomunicador e acesso remoto via rede IP e telefones IP >> Conheça todo o portfólio em www.Khomp.com >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> [email protected] >> > > > > -- > > *At.* > > * Fabiano Souza de Azevedo* > > * [email protected] <[email protected]>* > > 28 9.9919-4536 > > [image: Imagem inline 1] > > Acesse... <http://www.fk-tech.com.br> > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1 > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7 > Intercomunicador e acesso remoto via rede IP e telefones IP > Conheça todo o portfólio em www.Khomp.com > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > [email protected] > -- Paulo Silva Analista de Sistemas - Telecom
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1 Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7 Intercomunicador e acesso remoto via rede IP e telefones IP Conheça todo o portfólio em www.Khomp.com _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para [email protected]
