Zostałem zhakowany - przez Palestyńczyków! ( ͡° ͜ʖ ͡°)

Po tygodniu przebywania w Lublinie (mimo HO zmieniam lokacje co by nie dostać p------c... obłędu od monotonii covidowej) wróciłem w rodzinne strony. Po pewnych pracach wieczornych z lutowaniem (druciarska naprawa kamery IP) spojrzałem na...

tomek10861 z dodany: 27.02.2021, 23:40:54

224
Odpowiedz

Zostałem zhakowany - przez Palestyńczyków! ( ͡° ͜ʖ ͡°)

- Co do ch@!? Na wyświetlaczu wodzę komunikat o aktywnym przekierowaniu połączeń na jakiś długi numer.

595878335a51514141424578_1614468715S1bCnvFr4s7fz35QG2ePXT.jpg

Szybkie zapytanie w google na temat numeru telefonicznego - brak danych.

Wygląda jednak na to iż to numer szwajcarski, stacjonarny.
- Co tu się odp... tralalala?!

Loguje się do panelu telefonu voip, a tam wszędzie gdzie możliwe opcje przekazywania połączeń - aktywne, wprowadzony numer zagraniczny.

595878335a51514141424578_1614468753PsKKMnjnvd6YqSFLBrEEeD.jpg

Ale jak przecież sieć voip ma odcięty internet, poza tym mam voipy w osobnym separowanym vlanie.

Dostałem zimnych potów... ᄽὁȍ ̪ őὀᄿ

Ktoś dostał się do mojej sieci domowej - spenetrował ją i dobrał się do VoIP. Ale czy tylko VoIPa? Jak do tego doszło? Słabe haslo wifi, jakiś serwer oberwał po SSH? Może któryś z Windowsów dostał syf? Ale sieć użytkowników domowych nie ma dostępu do vlanu VOIP.
Szybkie logowania po terminalach ssh, brak podejrzanych logów na temat dostępu z ssh. Centralka też wygląda na czystą, jednak w logach ma wiele udaremnionych prób dzwonienia na nietypowe numery telefoniczne.

595878335a51514141424578_16144687673871rP7RbOTowDNWO3AAC2.jpg

Pierwsze podejrzenie - terminal z windows. Ma w prawdzie dostęp do sieci voip (ale tylko po warstwie trzeciej) no i wskazuje na niego RDP z internetu. Przegląd logów - nic podejrzanego. Odpalam jednak skaner onlinowy systemu.

Szukamy dalej, w telefonie widzę były aktywne próby przekazywania połączeń przychodzących.

Poddaje analizie logi routerów - nic szczególnego. Zajrzenie do Firewall - NAT.

-A co my tu mamy?

Port 4013 przekierowany z internetu na panel www telefonu Yealink.

595878335a51514141424578_1614468805D5IZJMmiV3SffNhQbWjAn5.jpg

-Ale przecież mają odcięty internet.
Próbuję zestawić połączenie TCP z zewnątrz na tym porcie. No tak telnet się połączył...

595878335a51514141424578_1614468829Cm1M9LpQb2wgPFhcDT4mkX.jpg

-Po co ja wystawiałem parę lat temu do publika, interfejs voipa... Tomek ty głąbie...

Między czasie dobrałem się do logów VoIPa - no tak na 2 minuty przed pierwszym połączeniem - niepoprawna próba logowania do konsoli WEB (godzina z logu GMT). IP wskazuje na Palestynę. Szukam danych w google, tak na te telefony istnieje exploit. Mimo zabezpieczenia się hasłem nie jestem pierwszy co ma aktywne przekazywanie połączeń.

595878335a51514141424578_1614468854FXuV6E4YSv3levAvrXKkTp.jpg

Powiem szczerze na tym moment ulżyło mi - czyli nikt nie dostał się do mojej sieci, a jedynie do telefonu VoIP na moim biurku.

Podsumowując czy Palestyńczycy mnie naciągnęli? Nie.

Co przed tym zabezpieczyło.
Po pierwsze mój operator VoIP jest operatorem typu prepraid, zwykle więcej jak 20zł na koncie nie mam. Po drugie blokada numerów premium - zawsze spoko. Po trzecie mimo posiadania kilku numerów TRUNK nie mam skonfigurowanej trasy domyślnej routingu połączeń. Jedynie numery 6 cyfrowe lub zdefiniowane numery alarmowe mogą wyjść na zewnątrz.

Na pewno separacja sieci VoIP od internetu i sieci domowej też była na plus.

Dlaczego do tego doszło?

Wystawiłem panel logowania na niestandardowym porcie do internetu. Mimo ustawionego niestandaryzowanego hasła, telefon musiał oberwać jakimś exploitem i się otworzył.

Jaki z tego morał - nie wystawiajcie paneli zarządzania urządzeniami sieciowymi do internetu mimo zmiany hasła i protu.
A ja własnie siadam do resetu telefonu. Trzeba też trochę zabezpieczyć tego voipa ( ͡° ͜ʖ ͡°)ﾉ⌐■-■

Komentarze (224)

najlepsze

CyberDeath

28.02.2021, 08:50:57

@tomek10861 - na przyszłość radzę nie wystawiać bezpośrednio żadnych portów na świat jeśli nie chcesz aby inne osoby też mogły się połączyć. Polecam skonfigurowanie VPN-a L2TP/IPsec. Na MikroTik-u, którego posiadasz, nie jest to trudne.

m.....a

konto usunięte 28.02.2021, 23:41:36

Komentarz usunięty przez moderatora

Mark2600

28.02.2021, 23:07:32 via iOS

O ja prdle jaki ja jestem stary i sie nie znam ( ͡° ͜ʖ ͡°)

lofix

28.02.2021, 12:54:08

Drodzy Wykopowicze, a co sądzicie o PigeonToPigeon?
https://en.wikipedia.org/wiki/IP_over_Avian_Carriers
Bezpieczne to? Pomijam utratę pakietów ze względu na żarłoczne koty, no i że ewentualnie gołąb niosący pakiet może okazać się debilem... :P

Nixxx2000

28.02.2021, 11:17:40 via iOS

nie przez palestynczykow tylko palestyna to popularny kierunek do nabijania kabzy na numerach premium - tygo typu naduzycia to normalka przy IP dlatego nie powinno sie zarzadzac aparatem przez przekierowanie portu a przez provisioning

d.....d

konto usunięte 28.02.2021, 10:06:59

Ciekawy artykuł - ten palestyński IP którego użyli to pewnie VPN jump host

nyxesis

28.02.2021, 09:44:32 via Wykop Mobilny (Android)

Wow świetna historia. I jaka pożyteczna (ʘ‿ʘ)
Cykl do ulubionych

d.....r

konto usunięte 28.02.2021, 09:36:40

Kup linuxiarski router, porób segmentację na vlany, zrób dziesiątki reguł na firewallu i tylko po to by wystawiać wszystkie zasoby do internetu. Jak chcesz się dostawać z zewnątrz do swojej sieci, to postaw sobie jakiś openvpn na malinie w dedykowanym segmencie lub zainstaluj zero tier.

krzywy_kanister

28.02.2021, 09:44:32

@director: Zobacz co odpisal, te uslugi byly wystawione zapomniane i to wlasnie bez chowania ich za vpnem.

awo666

28.02.2021, 20:02:44 via iOS

To jest pisane AD2021 czy w 2001? Bo wystawianie czegokolwiek w głębokim ukryciu ;-)) jest tylko w pierwszych minutach prawdziwe. Ale sporo było takich co zapłacili sporo za takie redirecty czy magiczne SIP sesje ;-)