Безопасность Asterisk, защита от сканирования портов

Приветствую!

Была задача объединить Dlink FXO и Asterisk. Все было сделано успешно встал вопрос о безопасности Asterisk.

  1. установили и настроили fail2ban
  2. закрыли доступ к веб серверу из вне точнее доступ по паролю
  3. запретили анонимные звонки

Вот вроде и все, fail2ban успешно ловит по правилу. Но настигла меня участь попасть под сканеров. В логе asterisk валились сообщения:

Timeout on a1ba91d3db3d751eb98dca1f0830407d on non-critical invite transaction.

либо

chan_sip.c: Failed to authenticate device 4006<sip:4006@My_IP>;tag=cfac1d5d

Естественно fail2ban здесь не помощник, надо на сетевом уровне смотреть кто такой. Выполняем в консоли asterisk sip show channels и видим некий IP который нам шлет INVITE как guest.

Посмотрели tcpdump что в заголовках и добавили в iptables правила:

-A INPUT -p udp -m udp —dport 5060 -m string —string «sipcli» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sip-scan» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «iWar» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sipvicious» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sipsak» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sundayddr» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «VaxSIPUserAgent» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «friendly-scanner» —algo bm —to 65535 -j DROP

Ну вот и все решение проблемы с защитой SIP порта от сканирования. iptables просматривает пакеты и если видит в них заголовки сразу отбрасывает их.

Теперь как только вижу подозрительные сообщения, смотрю заголовки через tcpdump и добавляю правила.

Linux-шифровальщик поразил более 2000 веб-сайтов

«Доктор Веб» раскрыл дополнительные детали о вредоносной программе Linux.Encoder.1, о появлении которой стало известно в начале текущего месяца.

Зловред поражает компьютеры под управлением операционных систем Linux. Его основное предназначение — шифрование файлов с целью последующего получения выкупа за восстановление доступа к ним.

Анализ показал, что основными мишенями трояна стали размещённые на Linux-серверах веб-сайты, работающие с использованием различных систем управления контентом (Content Management Systems, CMS) — в частности, WordPress, а также популярного программного комплекса для организации интернет-магазинов Magento CMS. Для атаки используется неустановленная пока уязвимость.

Получив несанкционированный доступ к сайту, киберпреступники размещают на нём файл error.php. Он играет роль шелл-скрипта и позволяет злоумышленникам выполнять различные несанкционированные действия.

Linux

Поскольку зловред запускается с правами встроенного пользователя www-data (то есть с правами приложения, работающего от имени веб-сервера Apache), этих привилегий вполне достаточно, чтобы зашифровать файлы в папках, для которых у данного встроенного пользователя имеются права на запись, — иными словами, там, где хранятся файлы и компоненты «движка» веб-сайта. Если по каким-либо причинам у шифровальщика окажутся более высокие привилегии, он не ограничится одной лишь папкой веб-сервера.

По состоянию на 12 ноября шифровальщик атаковал более 2000 сайтов в Интернете. Для восстановления доступа к закодированным данным жертве предлагается заплатить несколько сотен долларов США криптовалютой Bitcoin. Более подробную информацию о зловреде можно получить здесь.

1С-Битрикс права на файлы и папки

Случайно на сервере сделал права 777. Так нельзя надо бы вернуть как положено:

find . -type d -exec chmod 775 {} \;
find . -type f -exec chmod 664 {} \;
find . -type d -exec chown user:group {} \;
find . -type f -exec chown user:group {} \;

Права на все каталоги 775, на файлы 664. Выполняя данные команды мы рекурсивно выставляем права на файлы и папки.

Появился вирус-шифровальщик для Linux

DRweb

Системы на Linux атакует вредоносное приложение Linux.Encoder.1, который шифрует файлы пользователей, требуя за расшифровку заплатить криптовалютой. Об этом сообщает антивирусная компания «Доктор Веб».

Linux.Encoder.1 — относится к классу троянцев-шифровальщиков. После запуска с правами администратора на системах под управлением операционных систем семейства Linux он шифрует файлы на компьютере пользователя, после чего требует 1 биткоин за расшифровку (примерно 25 тысяч рублей на данный момент). Предполагается, что в настоящее время атакованы десятки пользователей.

Эксперты по безопасности считают, что атака нацелена на администраторов сайтов, на машине которых развернут собственный веб-сервер, потому что первыми шифруются корневые папки, личные директории пользователя, а также папки с базами данных MySQL и веб-сервером Apache.

После шифрования выбранных файлов исходные данные стираются и пользователь получает предложение заплатить за их расшифровку. Компания утверждает, что в случае согласия владельца компьютера и оплаты выкупа вирус получает ключ для расшифровки. При этом не говорится о том, что вирус стирается с компьютера и не может вторично зашифровать файлы.

Зашифрованные файлы помечаются расширением .encrypted. При их обнаружении компания рекомендует переслать ей файлы — планируется провести их расшифровку при возможности.

Большинство вредоносных программ рассчитаны на заражение Windows-систем. Однако эксперты по безопасности регулярно фиксируют некоторое количество вредоносных программ для Linux и Mac OS.