Asterix invadido

1. Asterix invadido

Paulo
PauloRosa2019

(usa Outra)

Enviado em 18/06/2019 - 22:14h

Olá a todos,

Temos um servidor CentOS7 rodando o Asterix. Estava tudo normal, porém, do dia 12 ao 15 de Junho, foram registrados 4 mil ligações, ou melhor, tentativa de ligações para um numero bem estranho:

GVXPIPRVAL-20190612221336-XXXXXX7430-02514084185678-out Inicio do ataque 12/06/19 as 21:13
GVXPIPRVAL-20190612221336-XXXXXX7430-02514084185678-out
GVXPIPRVAL-20190612223046-XXXXXX7430-906001514084185678-out
.
.
.
GVXPIPRVAL-20190612225941-XXXXXX7430-999001514084185678-out
GVXPIPRVAL-20190612231020-XXXXXX7430-23001514084185678-out
GVXPIPRVAL-20190615142522-XXXXXX7430-46000211-out Último registro dia 15/06/19 as 14:25

A empresa tem 30 ramais. Começa com 7400 e termina em 7430. Quando fazíamos ligações que caia pelo 7430 estava dando a mensagem "Vivo informa, não foi possível completar sua ligação". Mas quando cai pelo 7400, a ligação é realizada normalmente.

Notem que o numero "14084185678" não muda, apenas na frente do numero que mudou bastante "9060015" "025" "9990015" "230015" e assim por diante.

# Temos um ramal SIP que fica em outra cidade
# Temos IP fixo
# As portas do SIP e serviços da central estão abertas no modem

Alguém já passou por isso? será que se trata realmente de invasão ou é alguma falha na linha da Vivo ocasionando esse disparo?


  


2. Re: Asterix invadido

Buckminster
Buckminster

(usa Debian)

Enviado em 18/06/2019 - 22:49h

Bom, joguei o número 14084185678 no Google e apareceu isto daí, além de vários sites:

https://efraudsters.com/us/fraudsters/code/408/8/

https://efraudsters.com/us/fraudsters/4084185678/

http://caller-idx.online/1408/GSVL8W.php

Essas mensagens aí no teu comentário são as que estão no log?
Essas tentativas de ligações vem de fora ou são tentativas de dentro da empresa para fora?


3. Re: Asterix invadido

Paulo
PauloRosa2019

(usa Outra)

Enviado em 18/06/2019 - 23:00h

Buckminster escreveu:

Bom, joguei o número 14084185678 no Google e apareceu isto daí, além de vários sites:

https://efraudsters.com/us/fraudsters/code/408/8/

https://efraudsters.com/us/fraudsters/4084185678/

http://caller-idx.online/1408/GSVL8W.php

Essas mensagens aí no teu comentário são as que estão no log?
Essas tentativas de ligações vem de fora ou são tentativas de dentro da empresa para fora?


São do LOG que retirei pelo WinSCP das ligações.

As tentativas partem de dentro pra fora. To vendo aqui a pasta Data, tem centenas de tentativas desde o mês passado. A maioria ocorre de madrugada e finais de semana.




4. Re: Asterix invadido

Joao Israel Costa Viana
wakeup

(usa Debian)

Enviado em 19/06/2019 - 16:43h

Como estão as senhas dos ramais?

* Sempre utilize senhas autoconfiguradas pela interface.
* Nunca abra a porta padrão 5060 para a internet
* Sempre utilize VPN para conexão remota
* Nunca deixe o firewall aberto para qualquer conexão
* Sempre deixe aberto apenas para o IP remoto, ou host/rede remota.


5. Re: Asterix invadido

Buckminster
Buckminster

(usa Debian)

Enviado em 20/06/2019 - 02:46h

Tem alguém que trabalha de madrugada e finais de semana na empresa?