VoIP Community of Thailand - เว็บบอร์ด VoIP Issabel, Elastix Asterisk FreePBX IPPhone VoIP Gateway Call Center IPPBX ของไทย โดยคนไทย เพื่อคนไทย

มีใครเคยโดน Hack ระบบ Elastix บ้างครับ ผมโดน T T

ไม่รู้โดนเข้ามาได้ไง พาสเวริดผมมั่นใจว่าปลอดภัยที่สุดในสามโกลแน่ๆ
โดนใครไม่รู้แฮ๊กเข้ามาในระบบ แล้วโทรออกไปประเทศ เซอร์เบีย

ไม่ทราบว่ามีท่านใด เคยมีประสบการณ์แบบผมบ้างครับ

แชร์กัน ขอบคุณครับ

ผมแนบรูปมาให้ดู.

ไม่รู้ว่าจะเริ่มต้นเช็คตรงไหนได้บ้าง..

โดนไปเยอะไหมคับเนี่ย password ยากง่ายไม่สำคัญแล้วคับไม่ช่วยอะไรคับยังไงก็โดนอยู่ดีคับ firewall เท่านั้นคับที่ช่วยได้

xsodearna เขียน:โดนไปเยอะไหมคับเนี่ย password ยากง่ายไม่สำคัญแล้วคับไม่ช่วยอะไรคับยังไงก็โดนอยู่ดีคับ firewall เท่านั้นคับที่ช่วยได้

ระยะเวลารวมๆ เกือบ 6 ชั่วโมงครับ.

เคยโดนเหมือนกันคับ รู้สึกว่าตอนนั้นใด้โหลด app ใช้งาน sip account มาใช้งานนะคับเลยโดน
แต่จำโปรแกรม ไม่ได้แล้วคับว่าชื่ออะไร

ผมก็โดนแต่แก้โดยการให้ใช้เบอร์โทรตัดออกยากๆ ใส่ไป 4 หลักเลย + พาสเวอร์ด

เคยเหมือนกันครับ
ต้องบอกกับทางผู้ให้บริการว่าปิดการโทรออกต่างประเทศ
แล้วก็ตั้งที่ outbound ว่าสามารถกดโทรออกแค่ 10 หลัก

ดูจาก Source(735) ที่โทรออกไปเป็น Extension ภายในใช่มั้ยครับ ถ้าใช่คงเกิดจากการที่มีคน Hack แล้ว Register เข้ามาจากข้างนอกล่ะครับ ซึ่งกรณีนี้เกิดได้เนื่องจากมีการเปิดให้ Extension ของ Elastix สามารถ Register มาจากข้างนอกได้ครับ(NAT Public IP มาที่ Private IP ของ Elastix) ซึ่งการป้องกันการ Hack เข้ามา Register โดยทั่วๆ ไปจะมีหลักการตามนี้ครับ

1. คนที่ Hack ส่วนมากจะใช้ script ในการ brute-force extension และ password ครับ ซึ่งกว่าจะเดาครบก็จะมี log ที่ console เยอะพอสมควร ดังนั้นถ้าเราจะจัดการกับ brute-force คือ
=> การ brute-force จะมีหลักการว่า คน Hack จะส่ง script invite register ด้วย ext. แบบสุ่มเข้ามา(ทีล่ะเป็นพันๆ เบอร์) เช่น ส่ง ext. 100 เข้ามา register เมื่อ Elastix เราไม่มี Ext. นี้ ตัว Elastix เองจะส่ง message กลับไปว่าไม่มี Ext. นี้ ดังนั้นเค้าจะสุ่มไปเรื่อยๆ จนเจอ Ext. ของเรา เมื่อเค้ารู้ว่าระบบมี Ext. นี้ ต่อมา brute-force หา password ต่อไปเรื่อยๆ จนเจอครับ ดังนั้นจากตรงนี้สิ่งที่ต้องทำคือปิดการตอบกรณีที่ไม่มี Ext.,password นี้อยู่จริง
=> ใช้ fail2ban block IP ที่ Register เข้ามาถ้า Register ผิดติดต่อกันเป็นจำนวน x ครั้ง ซึ่งตัว fail2ban จะพิจารณาการ block IP จาก Pattern ที่ register เข้ามาผิดบ่อยๆ นั้นล่ะครับ

2. เปิด IPTable โดยเขียน rule ให้ allow เฉพาะ Class IP เรารู้จักเท่านั้น ที่สามารถเข้ามา Access port 5060 และ 10000-30000 ได้

3. ใน Parameter ของ Extension เราสามารถระบุ IP ที่จะเข้ามา Register ได้เลยนะครับ (Parameter host)

4. เขียน Pattern Match ของ Outbound ให้ Match เท่าที่เราใช้เท่านั้น โดยไม่เขียน Pattern Match ที่สื่อถึง Allow all Pattern Match เช่น _X. (ดูจาก Des. ที่โทรออกไป น่าจะเขียนไว้แนวๆ นี้)

5. กำหนด Policy ในการโทรให้กับทุกๆ Extension ซึ่งเข้าใจว่าคงไม่ใช่ทุก Extension หรอกมั้งที่มีสิทธิ์โทรออกต่างประเทศ และกำหนดช่วงเวลาในการโทรออกต่างประเทศไว้ด้วย เช่น ให้โทรออกต่างประเทศเฉพาะเวลางานเท่านั้น เป็นต้น ซึ่งข้อนี้อาจจะไม่ช่วยอะไรมากนักแต่ก็ควรจะมีนะครับ


เอาใจช่วยนะครับ

ข้อความต่อไปนี้เป็นข้อความที่ผมตอบอีเมล์ จขกท นี้นะครับ แต่ละข้อคืออีเมล์ 1 ครั้งที่ผมตอบไป ลองดูหล่ะกันครับเผื่อว่าจะมีประโยชน์ครับ

ปล. ผมไม่ได้ลงข้อความของ จขกท ไว้นะครับ มีแต่ของผม

1. ถามถึงว่าโดนได้ยังไง เข้ามาทางไหน และวิธีแก้ไข
เขาเข้ามาทางเว็บ https://x.x.x.x ครับ แต่ใส่ link ยาวๆมา เข้ามาได้โดยไม่ต้องใส่ user/pass ครับ เข้ามาก็เห็นหมดเลย เหมือน admin เข้าทุกอย่าง แถมเข้า secure shell จากหน้าเว็บได้อีก ไปฝัง script ไว้ข้างในเครื่อง ให้โทรไปเบอร์ตามที่เห็นใน cdr จึงต้องล้างเครื่องเท่านั้น

ทางแก้ไม่ใช่การเปลี่ยน 5060 เป็นพอร์ตอื่นครับ แต่เป็นการปิดไม่ให้เข้าเว็บจาก internet ได้ ถ้าจะเข้ามาจากภายนอกต้องใช้ vpn ครับ

การเปลี่ยน 5060 เป็นพอร์ตอื่นช่วยตรงที่ไม่ให้มีการ register เดาเข้ามา ไม่ให้มีการยิง packets เข้ามา เพราะมันคงไม่รู้ว่าเราใช้พอร์ตอื่นแล้ว

2. ก็เปิดเว็บเหมือนที่เราเปิดแหล่ะครับ แต่เขาใส่ url แบบยาวๆ มีพารามิเตอร์เยอะๆ มันก็ทะลุเข้ามาเลย ถ้าไม่ให้ออกเน็ตได้ก็จะปลอดภัย แต่ถ้าจำเป็นต้องออกก็ต้องป้องกันครับ

elastix เป็น opensource ใช้งานง่าย มีคนใช้เยอะ มีคนรู้ช่องโหว่ก็เยอะ

3. ถามถึงวิธีการป้องกัน
ป้องกันง่ายๆครับ ไม่ทำ port forward ให้เข้ามาข้างในได้ครับ โดยเฉพาะมาที่ ip elastix

แล้วเทสโทรดู ผมว่าไม่น่าจะทำให้มีปัญหากับ nettalk ครับ

ส่วน elastix จะออกไปไหนบ้าง ก็ปล่อยมันครับ

4. ถามถึงลักษณะการเข้ามาของ Hacker
เข้ามาทาง https นี่แหล่ะครับ ที่ผมว่าไว้ ลองเอา https ออกครับ มีรีจิสมาจากภายนอกด้วยหรือครับ ถ้าไม่มีให้เอา iax ออกด้วย

ไม่ควร forward ตั้งแต่ทีแรกแล้วครับ มาทำตอนนี้ก็ไม่ได้ช่วยอะไรเลย ใน elastix ตอนนี้ถูกฝัง script ไว้เรียบร้อยแล้ว

5. ถามถึงว่าจะเอา port forward บน load balance อันไหนออกดี มี https พอร์ต 443 และ iax ทั้งคู่ชี้มาที่ไอพีของ Elastix

งั้นเอาเฉพาะ https ออกครับ
อย่างที่ผมบอกว่าถูกฝัง script ไว้แล้ว ในเว็บ cdr เห็นโดนโทรออกทาง DAHDI นะครับ ตอนนี้ปิดโทร ตปท ไว้แล้วหรือยังครับ หรือเปิดไว้แต่ให้ถามพาสเวอร์ดเวลาจะโทร ตปท (ทำที่ฝั่ง tot/true)

6. ถามถึง ip-pbx ที่ดีกว่า Elastix
ถ้าไม่จำกัดงบประมาณ ผมแนะนำให้เป็น ip-pbx ของ NEC, Alcatel, Avaya ไปเลยครับ

7. ถามถึงราคา
อ่อ ผมไม่ได้ขายครับ ลองติดต่อกับบริษัทตัวแทนจำหน่าย หาได้ในเว็บไซต์ของบริษัทครับ หาใน google ดูครับ

nec - เอ็นอีซี ไทยแลนด์
alcatel - อธิเทเลคอม
avaya - ชิวาเลีย โอเอ
cisco - ดาต้าคราฟท์ ไทยแลนด์
huawei - หัวเหว่ย ไทยแลนด์

ผมสรุปอย่างนี้นะครับ

ถ้าท่านโดนแล้วก็อย่าฝืนใช้งานเครื่องนี้ต่อ ให้ล้างเครื่องใหม่เลย ลงใหม่ แล้วหากต้องการเชื่อมต่อเน็ตให้ภายนอกเข้ามาใช้งาน Elastix ได้ด้วย ให้หาทางป้องกันด้วยวิธีต่างๆนาๆที่ผมเคยโพสต์ไว้ในเว็บนี้ครับ แล้วท่านจะปลอดภัย

จากข้อมูลที่ทางคุณหนุ่ยให้มา หมายถึงว่า Elastix เครื่องนี้ NAT ออก Internet แน่นอนถึงโดนแบบนี้ งั้นวิธีแก้แบบเอาอยู่ต้องแบบนี้ครับ(บางข้ออาจจะซ้ำกับทางคุณหนุ่ยนะครับ)

1. ที่ Firewall เปิด rule สำหรับ Public IP ของ Elastix ตามนี้ครับ
=> Allow เฉพาะ udp 5060(หรือเปลี่ยน port ตามที่คุณหนุ่ยแนะนำ), แล้วก็ rtp ที่ใช้ เช่น 10000-30000 (ไม่ต้องกว้างขนาดนี้ก็ได้) และไม่ต้อง allow อะไรอีกเด็ดขาด

2. ที่ Elastix เปิด iptables และเขียน rule ตามนี้ครับ
=> ระบุ IP ที่สามารถ Access httpd(port 80, 443) ลงไปเลยว่า allow ip อะไรบ้าง โดนแนะนำให้ allow เป็น private ip เท่านั้น
=> allow ส่วนของ elastix ตามปรกติ
=> ที่ iptables เขียน rule ที่ไม่ match ให้ drop ทิ้งนะครับ ไม่ต้อง reject

3. ที่ Elastix เกี่ยวกับการจัดการ OS
=> ที่ secure shell ห้าม login ด้วย root ต้อง login ด้วย user อื่นๆ ก่อนแล้วค่อย su เป็น root และ user ที่ login ให้ grant สิทธิให้ใช้ command su ได้เพียง command เดียว

จาก 3 ข้อข้างบนรับรองเอาอยู่แน่นอนครับ(สำหรับในกรณีที่ hack เข้ามาโดยผ่านทาง web gui นะ) แต่ถ้า brute force ต้องตามที่ผมแนะนำไปก่อนหน้าครับ

เพิ่มเติมครับ
=> ยังมีวิธีการ Hack แบบอื่นอีกเยอะครับ แต่แบบที่โดนคือเค้าต้องการจะยึดเครื่องเราแล้วล่ะครับ


เอาใจช่วยนะครับ