20個位的密碼也被HACK!?!
今早check了一下...發現原來昨天有台elastix(2.3)其中一個user被入侵...但因這台elastix的user密碼早前應該因為也試過被hack後已把password改成至少十多個位...
這個user的密碼已改到20個位...而且分別也有大細楷英文和數字...
再檢查後發現router的port forward 443 port忘了disable...未肯定是否經web的版面拿到login......
(因為我記得平時要config這台也是要經VPN連進去的...所以沒留意...真失策:'( )
不過暫時看到撥出的電話號碼也未算成功撥號...
所以看來暫時沒有損失...
順帶一提...這次的連線是由埃及發出的... 謝謝告知, 在log上如何顯示? [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=33831&ptid=5676]1#[/url] [i]電腦超人[/i] [/b]
你什么时候改用Elastix呢? [quote]謝謝告知, 在log上如何顯示?
[size=2][color=#999999]SuiYan 發表於 2013-6-9 10:37[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=33833&ptid=5676][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
因為我會長開著console來mon著幾台asterisk...(幾台是因為在VM中有些是在測試的:lol )
今早發現那台有撥出的記錄...看看user應該是沒有用過的...
所以便去查了......
順帶一提...他們是會致電那些長途電話的...
這次是想致電到英國...... [quote]回復 電腦超人
你什么时候改用Elastix呢?
[size=2][color=#999999]角色 發表於 2013-6-9 11:46[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=33834&ptid=5676][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
應該是最近半年左右吧...
不過也有用asterisk的...
elastix是在測試及調試中...
想試試會否在有GUI設定介面(web)下作設定會否比改config file的asterisk容易...(例如設定IVR/Fax......等等...) How about your console login password? Something wrong 其實. 我都想知asterisk隻個user內那個MAC設定有何作用.
遇到相同的MAC才assign那個6001內線給他, 不用密碼登入, 還是有其他作用. ??
[img=110,82]http://www.telecom-cafe.com/forum/attachments/swfupload/13060917426a37dd9f1f0a2093.jpg[/img] [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=33843&ptid=5676]7#[/url] [i]SuiYan[/i] [/b]
[url]http://www.elastix.org/dokuwiki/doku.php?id=phone_mac_address[/url] 即係實際係沒有用途. 另一台的Elastix好像也被改了admin密碼...
google了一下網上好像也有類似的事件出現...
用elastix的用家不要將web admin page暴露在外...
(Disable HTTP(80)/HTTPS(443)/SSH(22)...)
另外好像hack進後會在dialplan中加上"4."的outbound...
換句話說...只要拿到了user的密碼...再以4+號碼便能撥出...
PS:我是懶設定所以才放了80/443...只不過後面的trunk不能撥出IDD就是了...:P 不管是 Asterisk-GUI, Elastix 或其他 Asterisk Distro. 只要有附帶 Web 管理介面的,都不建議直接開放給公眾網路存取,即使密碼強度很高也是一樣。
我之前有公佈一個 Elastix 內含某個模組的漏洞,儘管這個模組一般人不會去用,但這個漏洞卻會曝露許多系統的重要資訊。 如果我在Elastix的iptable上限制了登入的ip呢?因為我還是需要遠端登入Elastix的Web page去做設置啊。 [quote]不管是 Asterisk-GUI, Elastix 或其他 Asterisk Distro. 只要有附帶 Web 管理介面的,都不建議直接開放給公 ...
[size=2][color=#999999]alang 發表於 2013-6-10 13:20[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=33862&ptid=5676][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
正確來說這類控制到系統的也不應開放的...(是我懶罷了:P )
要安全的話應該好像雯雯那樣全部也要VPN進去......(對嗎?)
alang兄你早前提過的漏洞不是2.2或以下嗎?
2.3或以上的也有影響?(難道是我記錯?) 能不能加一个网卡,然后配置成内网的网段, 用来做web管理? 因为我内网网段,在外面是可以经openvpn进入的。 VPN 是其中一種方式,還有 SSH tunel, 或 Elastix 的 SSL 私有憑證都可以作到有效的防護。
那個漏洞雖然是 v2.2,不過這突顯的是 Web 是一個非常不安全的存取方式,如果你有關注網路上的各種漏洞發佈消息,你會驚訝,大部份的網站程式如沒有定時作更新,其實有許多漏洞的。
還有許多 Elastix 的漏洞並非與 Elastix 核心有關,問題多數出在那些外掛的模組,而這些模組並不是由 Elastix 所開發維護的,希望網友們不要誤以為 Elastix 是個不安全的套件。 [quote]如果我在Elastix的iptable上限制了登入的ip呢?因為我還是需要遠端登入Elastix的Web page去做設置啊。 ...
[size=2][color=#999999]浮雲1965 發表於 2013-6-10 14:12[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=33865&ptid=5676][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
關鍵設定在於如何禁止所有人都能存取管理介面,千萬不要信賴管理介面的登入機制。
方法可以有許多種,iptables 當然也是其一 我目前已用iptables限制了,只是还是不放心。所以想,如果能加一个网卡,专门用来web 管理的,设置成内网的网段,那我就可以经openvpn进入内网的网段,然后访问Elastix的web了。这样应该比较放心。 [quote]能不能加一个网卡,然后配置成内网的网段, 用来做web管理? 因为我内网网段,在外面是可以经openvpn进入的 ...
[size=2][color=#999999]浮雲1965 發表於 2013-6-10 18:11[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=33874&ptid=5676][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
其實你可以不用加1個網卡! 在Elastix上裝1個VPN Server, 然後在iptables開相應的port就可以了! [i=s] 本帖最後由 浮雲1965 於 2013-6-10 21:19 編輯 [/i]
謝謝,可以考慮。因為我的elastix是在vm上開的,本來已有內外网。同埋也已有openvpn連接內網。所以才提出可否在elastix加網卡的提議。 [i=s] 本帖最後由 homeinns 於 2013-6-10 22:02 編輯 [/i]
本人在目前這個過渡消費的社會裏 Practice 現代清貧的生活,家裡基本上是沒有任何值錢的東西的(連電腦也是最古老的 P4 上古恐龍年代的貨色),因此家裡可以不設防,如果有小偷進來偷東西,那[b][u][color=Red]應該是他倒楣[/color][/u][/b],并[b][u][color=Blue]不是我倒楣[/color][/u][/b]。
[color=Red][u]同一個道理 Apply to ASTERISK server[/u][/color], 只要Practice 現代清貧的生活,家(Asterisk Server) 裡基本上是沒有任何值錢的東西的 ,如果有小偷進來偷東西,那[color=Red][u]應該是他倒楣[/u][/color],并[color=Blue][b][u]不是我倒楣[/u][/b][/color]。
當現代的清貧生活達到最高的境界,自己的家(含 Asterisk Server) 是[color=Red]不需要安裝任何門窗[/color]的,任何人士都可以自由進出,小偷進來,也無所謂。
這才是真正 “[b]自由[/b]” 的最高境界,[color=Red][u]身上無一物,已經沒有任何的懼怕,因為已經達到一無所有的最高境界[/u][/color]。
人是赤條條的來到這個世界,也是赤條條的離開這個世界,爲什麽在這個世界里, 要擁有那麼多東西呢 ??,死了以後,還遺留下那麼多的垃圾在這個世界上呢 ??? 尤其是值錢的,和吸引盜賊的東西 (含 Asterisk Server 內的 可以變賣成金錢的 Resources 呢 ????),
你們看,小甜甜死後,發生的事情,就是最好的鐵證啦。 何必呢 ??? [quote]本人在目前這個過渡消費的社會裏 Practice 現代清貧的生活,家裡基本上是沒有任何值錢的東西的(連電腦也是 ...
[size=2][color=#999999]homeinns 發表於 2013-6-10 21:45[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=33886&ptid=5676][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
能有如此豁達的心境自然是好事,只是處於現今凡事都是電子化的時代,稍一不注意就有可能使自己的所有身家財產給賠了,或許錢乃身外之物,再賺就有,然而若身份被不肖份子盜用,其損失恐難以估計。
現今網路駭客工具充斥,人人皆可成駭客,又電腦系統漏洞百出,一條網路線用與不用,該如何用,慎思之。
頁:
[1]