Elastix hackeado :(

Forums: 

Hola a todos.

En dias pasados ocurrio algo muy inusual, un hacker ingreso al Elastix y realizo llamadas internacionales simulando ser en momentos una extensión y en otros momentos una extension desconocida... Terrible cosa. El delito es grande pero gracias a Dios no tanto.

Necesito apoyo para saber como asegurar el elastix y tambien como saber desde cual IP esa extension se registro. Supongo que Elastix debe guardar un log de eso.

Ojalá puedan colaborarme.

saludos.

ME

No es inusual es normal,

Imagen de Epe

No es inusual es normal, estás en el lejano oeste cercano... en internet.

Recuerdo que trixbox hace un tiempo tuvo una falla de que había cierta clave por defecto y los atacantes simplemente entraban al freepbx (que es donde se usaba la clave por defecto) se creaban una extensión, hacían llamadas y luego borraban la extensión. Viendo con caaaaaalma los logs podrías determinar si fue por esta vía. Incluso puede no ser esto que aquí digo sino simplemente una clave débil para entrar al freepbx, y el atacante hizo lo que te indico aquí.

Hubo algunos advisories sobre esto y cambiar la clave de ese usuario era lo adecuado.

Pero no es la única forma de entrar (aunque por lo que dices de la extensión desconocida me suena a que se crearon la extensión, llamaron y la borraron luego).. también descubren las claves de las extensiones, pues casi siempre son débiles y son sistemas que no colaboran con el usuario, por ejemplo extension 2001, clave 2001 y así... te toca entonces no confiar en ningún sistema, confía en las claves que pongas!

Hay muuuchas formas.. suerte!! Revisando los logs le encontrarás

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Buscate en las listas/foros de elastix.org

Imagen de iknaxio

Buscate en las listas/foros de elastix.org, hace tiempo estaba suscrito a la lista de usuarios y recuerdo haber leído casos como el tuyo. Elastix es una distribución Linux y hasta donde sabía está basada en CentOS, por lo que las consideraciones básicas de seguridad para una distro deben ser aplicables.

A veces también depende de la versión que tienes de Elastix y de los huecos que la misma pueda tener.

Con todo chequeate el siguiente material:

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Elastix según muchas

Imagen de deathUser

Elastix según muchas discusiones en sus foros, es un conjunto de aplicaciones mal integradas, y cada una de estas herramientas manejan claves por default, esa es una de las principales fuentes de agujeros de seguridad, a parte de lo que menciona EPE de contraseñas débiles, pero como ya te recomiendan, lee exhaustivamente los logs del sistema, mira en los foros de elastix sobre problemas de seguridad de tu versión particular y cierra los puertos que no necesites mantenerlos abiertos hacia el mundo, ponlo detrás del firewall si aun no lo está ...

Suerte ...

bye
;)

Seguridad

Imagen de sinche55

Ponlo de tras de un firewall y si quieres administrarlo remotamente utiliza SSL, O vpn, tambien es importante actualizar tu elastix, la nueva version traer en la consola para aplicar las IP TABLES es mucho mas visual en vez de configurar por comando las IP TABLES ya la tienes en la consolal, tambien utiliza grupos para los usuarios usa claves con letras numeros y caracteres, asi tengo configurado mi elastix y me va bien has ahora, se minuciosamente en la seguridad ya que eso te hace ver lo profesional que eres.

Edward Sinche C.

A mi también me han hackeado

Imagen de nino1511

A mi también me han hackeado el elastix ya le perdí la fe, he probado el DEBPBX y esta chevere las claves son generadas al azar así que es muy difícil que puedan entrar.

Saludos

Vamos Ecuador, si se puede

elastix

Imagen de sinche55

yo puedo visualizar la misma interfaces que elastix, por que no usas la nueva version ??,

Edward Sinche C.

Un poco tarde pero...

Imagen de Astrosendero

puedes revisar el log de asterisk: nano /var/log/asterisk/full, puedes añadirle una capa de seguridad usando fail2ban y cerrando el puerto sip para que ninguna ip externa pueda acceder a tu elastix.
Utiliza Contraseñas aleatorias para tus extensiones. Estos son algunos tips...

Gerardo Jacinto Astudillo