Форум - Офисные АТС

[FYNJY]

Добрый день. Получили сегодня счёт, так там за 21-23 февраля вышло около 80тыс. рублей. Звонки на номер длительностью от 1 до 15 минут на номер 8813131234 иногда чуть другие 88131312348 или 8813131239 (оператор билайн пишет: "СГПСС и международные сети"). Увидел тему viewtopic.php?f=4&t=7838. Хотел спросить как происходит взлом и звонок? У меня АТС за фаерволом, который извне на неё ничего не редиректит, сама АТС подключена к сети, дабы скидывать логи и изредка её конфигурировать. Попробовал подключиться телнетом на порт 5090, чтобы сейчас отключить snmp согласно инструкции "How to block snmp_ver2.rar" из первого поста той темы, так оно показывает чёрный экран и всё. К сожалению логи не писались в те дни, так как программа-коллектор чего-то затупила и перестала их писать ещё за неделю до того. Поэтому стало интересно, а может ли быть что это оператор чего-то попутал или в случае того взлома всё так и выглядит? Пароль на admin стоит не samsung или там для взлома всё равно какой пароль и разрешено ли перенаправление на внешнюю линию?

[LionB]

Через SNMP ваша станция не ломается. И, кстати это был не взлом, а DDoS, приводящий к сбою работы процессора.

Если стоит карта SVMi, то из-за недостаточной/неумелой/неграмотной ее и системы настройки на предмет транзитных вызовов, сделали проброс трафика именно через нее банальным донаборам DTMF. И не суть, что все за файерволом.

Способы борьбы уже давно известны:
1) Изменить пароль, как станции, так и админ самой почты для DTMF входа администратора.
2) Поудалять у всех, кому они не нужны MBX
3) На оставшихся абонентах с MBX изменить пароли от умолчания.
4) В EClass и Mclass запретить Outgoing Authorization.
5) На всех портах почты установить COS, в котором есть ограничение Toll Restriction вплоть до H - intercom Calls only.

[FYNJY]

SVMi не стоит, то есть не так произошла атака и из написанных вами мер только смена пароля необходима. А эта атака через интернет происходит или атакуют именно телефонную линию (поможет ли отключать её от сети с доступом в интернет или это именно по телефону происходит)? А пароль только в 2.1.7 поменять или ещё есть какие-то пароли (настроены 1234) в 5.6.1 и 5.13.1? Может быть надо в 3.3.4 (Networking) или 4.7.2 и 4.7.3 (COS) запретить что-то?
Прошивка 090622-430k V1.0, LPP 4.14 - это ничего не надо обновлять (та тема касалась только АТС с процессором МР20?)?

[Artoriuss]

А как к внешнему миру присоединены? Аналог, цифра, SIP? Логи SMDR пишутся? Если да, то что там видно?

[LionB]

Так. Почты нет.

Вариант 2 (если считать, что система защищена от доступа к администрированию извне).
Любой внутренний абонет, может легко поставить внешнюю переадрессацию, если она у него разрешена в COS и у него нет соответсвующего Toll Restriction по дальней связи (опять же - это вопрос изначальной настройки системы).

[FYNJY]

Логи SMDR пишутся, но именно на той неделе не было их. Использую программу KTSLoger (для OS500) и она иногда закрывает соединение, а потом не переподнимает (поднимаю вручную когда замечаю). Может быть есть более стабильная программа для этого? Именно так было в те числа=( Попробую взять детализацию звонков входящих: может имело место пренаправление внешней линии, но сомнительно что кто-то набирал эти номера осмысленно. Наружу смотрит городские только линии из платы 8TRK и подключенные к ней же как городские 2 FXS линии из D-Link DVG-2102S (на другой стороне они через такой же шлюз подключены к АТС Panasonic TEM824) и настроены перенаправлять порт в порт и никаких VoIP наружу или внутрь они не смогут без настроенного и прописанного в них VoIP сервера. Плата MCP проводом соединена с хабом, а тот в свою очередь с шлюзом, раздающим интернет. В АТС шлюз прописан, но это на исходящие, забить его 0 имеет смысл?

Да, но не 300 ж звонков суммарной длительностью 600 минут, так пальцы набирать отвалятся. Внутренних не могло быть как раз 23 был выходной и время восновном нерабочее и в остальные дни. В рабочее время заметили бы что линии заняты кем-то и напряглись бы полезли логи смотреть и включили их.

[LionB]

Переадрессация может быть поставлена сотрудником, перед уходом. Но, для этого входящие должны приходить на такого внутреннего.
Далее все наборы на вход может делать "робот" с модемом, а выход идет по переадрессации, но тогда весь выход в это время будет идти на один номер, а уж "назавтра на другой", ну это если переадрессацию с двух таких внутренних разом не поставили.

Раз у вас стоит 8TRK, нет сомнения, что кто-то на кроссе вставал?

[FYNJY]

У нас отдельное здание, так что врядли кто-то вклинился в линию. Сомневаюсь что кто-то из сотрудников настолько сведующий в этих делах, чтобы использовать устройство на месте. Чтобы запретить переводы подобные надо запретить просто перевод на внешнюю линию в 5.1.5. А от внутреннего врага никак не защититься.

А как атака-то происходит по телефону или через сеть? тогда может быть её выделить в другую подстеть и открыть только порт необходимый для администрирования (5090 или другой используется?) для своего компа и 5100 для компа, на который идёт запись логов?

[LionB]

Да какая атака.
Чтобы вызовы пошли транзитом, надо перепрограммировать соответсвующим образом систему или физически на линии стать (с аналоговыми).
Если извне это невозможно, по твоим словам, то ищи врага внутри. Все разумные методы я показал. Остальное шаманство.
Вообще отключай LAN кабель от системы, если программирование не требуется. SMDR снимай по SIO (глядишь и поймаете врага). Главное сейчас шум не поднимать.

Жалко, что у вас нет CDR. Были случаи, что и у горе-операторов Астериксоидные железки ломали, внедряли код и налаживали звонки от лица клиента, а он ни слухом ни духом, так как все это происходило до него.

[FYNJY]

А чем SMDR лучше всего снимать? чтобы само пыталось переподнять соединение в случае разрыва (уверен после такого начальство согласится даже на платные решения) или самому пытаться писать программку или скрипт?