Online betörés és károkozás

Linux-security

Sziasztok,

Feltörték a telefonközpontomat és az összes fővonali számlámról (cheapvoip, voipdiscount) átutalták a pénzt egy általuk használt számlára.
Logok szerint megvan a pontos időpont, ip cím, és az átutaláshoz használt azonosítók.
(Okozott kár értéke ~10-20e Ft + pár sikertelen próbálkozás a bankszámlámról történő újbóli feltöltésre és áttöltésre)

Mit tehetek ilyenkor, volt már valaki hasonló helyzetben?

  • 9180 megtekintés

( Jason v | 2013. 04. 04., cs – 20:39 )

feljelentés? illetve szolgáltatónak szólni, hogy kérnéd vissza...

( secretx v | 2013. 04. 04., cs – 21:15 )

Okulaskeppen leirnad, hogyan nyomtak fel, es pontosan mit is?
Koszi

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

Subscribe.

Amúgy normál halandó ezekről a számlákról nem tud egyenleget leemelni (csak eltelefonálni).
Persze vannak, akik megtehetik ezt, de kétlem, hogy ilyen akciókat követően sokáig hagynák őket garázdálkodni.

Mindenképpen jelentsd (mármint a kérdező) nekik - remélem, visszaszerezhető a pénz... de legalább tudjanak róla.

Az is érdekes lehet, hogyan jutottak be a szerverre és hogy tudták az összes számláról leemelni az összeget.
Mit látsz a logokban?

Másfelől - miből állapították meg a fiókok felhasználói név/jelszó párosát?
Bejöttek a gépedre SSH-n és áttúrták a konfigjaidat? - gyenge jelszót használtál?

Egyébként Asteriskhez (és SSH bejelentkezésekhez is) érdemes lehet fail2ban-t beállítani, ill. SSH-n root-ot nem beengedni (config opció), továbbá ha csak bizonyos user/ek tudnak root-tá válni, az sem rossz ötlet (wheel).

Persze, de nem ezt írta a kérdező - bár más kérdés, az átutalást mi alapján mondta.

Ha ez történt, elméletileg a logokból látszik.

Nem mellesleg valóban ez a leginkább jellemző - folyamatosan próbálkoznak az 5060-as porton és ilyesmire vadásznak.
Volt már néhány téma itt hasonló problémával.

Az átutalás azért hangzott furán, mert elméletileg megtehetik, de gyakorlatilag viszonylag kevesen.

Ellenben több számláról is eltűnt a pénz, aminek vagy az az oka, hogy az Asterisk hiba esetén ezeken a vonalakon megy ki, vagy másként tudták meg az adatokat, esetleg eltalálták az előhívóját vagy más usert is törtek, akinek más alapértelmezett számlája van.

Amúgy ha emelt díjas számot hívtak, az megint csak kibogozható a log-ból és érdekes lehet.

csak eltelefonálni

Igen. Ez anno pl. a telefonkártyás időkben úgy ment, hogy a csaló regisztrált egy emeltdíjas szolgáltatást, a lopott/hamisított/stb. kártyáról felhívta a saját szolgáltatását, és a letelefonált összeg egy részét a telefonszolgáltató kifizette az emeltdíjas szolgáltatónak. Persze megbukni is így buktak meg, hiszen ehhez valakinek a nevét, bankszámlaszámát kellett adnia :)

"Egyébként Asteriskhez (és SSH bejelentkezésekhez is) érdemes lehet fail2ban-t beállítani, ill. SSH-n root-ot nem beengedni (config opció), továbbá ha csak bizonyos user/ek tudnak root-tá válni, az sem rossz ötlet (wheel)."

ezek helyett inkabb be kell allitani hogy csak key-el autholjon...
az biztonsagosabb mint a pw es nem szivatod magad feleslegesen

Forszolt maximális élettartamú jelszó az előírás.

A miértre nem tudok választ adni - már csak azért sem, mert van olyan szervezet a cégnél, amelynek feladata a vállalati biztonsági sztenderdek folyamatos felülvizsgálata, és a szervezet e munka jelentős részét olyan monitorral végezteti, amely - teljesen ésszerűen - kulccsal autentikálja magát.

Véletlenül sem azt akartam kihozni, hogy a key-pass a követendő (apage satanas), csak hogy ilyen csoda is létezik.

Szerintem így történhetett:

Megszerezték az Asteriskből a user nevet/jelszót, aztán ezzel már be tudtak lépni az adott oldalra. (Mivel ezeknél a szolgáltatóknál az oldalra bejelentkezéshez ill. a telefonáláshoz is ugyanaz a név/jelszó kell.)
Az oldalra belépés után meg a "Recharge a friends phone" funkcióval átpakolták magukhoz a pénzt.

( Zahy v | 2013. 04. 04., cs – 23:06 )

Lehetne ezt az egészet kicsit részletesebben? Milyen gép, milyen szoftver, milyen hozzáférés, stb?

( bednarik | 2013. 04. 05., p – 06:42 )

erre kíváncsi vagyok

--
Tényleg melot keresek... aki lát szolhatna.
nem értek semmihez és sokat akarok keresni.
/most a szitázok,de infos munkát keresek egyetemi tanulmányok mellé.. /

Olcson meguszta, nekem peer kozpontrol anno 6M koruli osszeget telefonaltak el 3 nap alatt, 50call parhuzamosan Kuba fele....

(egyik kedves kollega veletlen invertalta a frontend tuzfalban a szabalyokat, plusz VELETLEN azzal az egy mellekkel jottek, amin nem volt forced pin access, plusz VELETLENUL tudtak a 64karakteres kulcsmondatot is az accounthoz... )

( csuhi | 2013. 04. 05., p – 11:07 )

Azonnal jelezni a banknak is és a szolgáltatónak is. Ha pár napon belül jelzed mindkét fél felé, visszakapod a pénzed. Auto recharge-ot letiltani -ha van- és jelszóváltoztatás a szolgáltatónál és a saját mellékek esetén + az admin felületen is. Szóval mindenhol.

--
http://csuhai.hu

( hawk | 2013. 04. 05., p – 23:53 )

Tipp: (válogass kedvedre melyekkel élsz / nem élsz)
- admin felület minimum http auth mögé
- webszerver más portra rakni
- tűzfallal csak megbízható helyekről beengedni az admin felületre a csomagokat
- fail2ban

És úgy egyébként minden olyan szolgáltatást, ami nem feltétlen kell működjön
a sztenderd portokon - főként az adminisztrációs eszközök - azt lehet rejtegetni magas portra
plussz tűzfalazni, akár dinamikusan is.

Persze, aki be akar jönni az be fog jönni.
A gépet amúgy kopromitáltnak tartanám a helyedben és reinstall minimum. Már ha nincs tripwire vagy hasonlóval
napi szintű auditod, hogy meg tudd állapítani melyik binárist hackelték meg azon a gépen.

--
http://hwk.hu