Zoop18 Posted September 25, 2018 · Report post GoIP Взлом ШЛЮЗА Коллеги, нужна ваша поддержка. Описываю ситуацию, как она есть: 1 ) В январе 2017 года, купил два 8 канальника. Вот их детальное описание:https://ru.aliexpress.com/item/GoIP-8-p ... 33edI7EBN4 Сразу после установки первого в работу, прошли звонки на кубу, где-то на 200 Евро)). После чего поменял все пароли, повторно, пересбросил итд. Больше приколов не было. Объяснил себе это как "слабый пароль, белый IP или" поставил длинный пароль, сменил порт и "забыл".2) Но сегодня, ночью, почти 2 года спустя 24.09.2018. Опять прошел даже не взлом, а просто ВХОД на GOIP. И так же отработали еще на 100 ЕВРО левыми звонками (( ПАРОЛЬ СТОИТ 40 СИМВОЛОВ. Т.е. подобрать проблематично. 3) Есть второй GOIP из этой же серии, по нему так же кто-то ходит, как выяснил регулярно. Видно по логам последнего входа (IP и время не мои). 4) С обоих шлюзов шлют смс, исходящие на 06-13 06:45:58 +16184317736 (GOIP 1) ИЮНЬ -18 09-24 09:59:19 +16184317736 (GOIP 2) СЕНТЯБРЬ - 18 5) Последние входы были сегодня ночью с чужих IP. Данные аппаратов:GOIP 1 S/N 8MCDRM16122227 (!) Model GoIPx8 Firmware GST1610-1.01-57-1 LAN MAC 38:3F:10:04:5C:9C (!)GOPIP 2 S/N 8MCDRM16122226 (!) Model GoIPx8 6) Cкрин шот интерфейса в приложениеFirmware GST1610-1.01-57-1 LAN MAC 38:3F:10:04:5C:9A (!) 7) Оба стоят на белых статичных IP 8) Один стоит в РФ cимки MEGAFON - вероятно были левые звонки, но т.к. тариф не кредитный в сильный минус не уводило.... Поэтому не замечали. Резко никогда не было. Второй стоит не в РФ, и там кредитный тарифный план, со всеми вытекающими последствиями. Но за все время второй случай "прозвонки" СЧИТАЮ ЧТО ОБА ГОИПА С ЗАКЛАДКАМИ ОНИ КАК-ТО СВЕТЯТСЯ.... ИБО ПРОСТО БРУТФОРС В РАЗНЫХ СТРАНАХ.... С 40 СИМВОЛЬНЫМ ПАРОЛЕМ..... НЕ ВАРИАНТ!9) Кроме ДАННЫХ GOIP ЕСТЬ ЕЩЕ 2 ДРУГИХ (ДРУГИЕ МОДЕЛИ), С НИМИ НИКОГДА АНАЛОГИЧНЫХ ПРОБЛЕМ НЕ БЫЛО ( Активность по логам астериск (примерно через минут 20-30 после АКТИВНЫХ звонков со шлюза) СDR 2018-09-24 05:16:09 1537755369.6813 Goip_kiev1 Hangup s [from-trunk] ANSWERED 00:19 2018-09-24 05:07:19 1537754839.6812 Goip_kiev1 SayAlpha s [from-trunk] ANSWERED 00:12 По ЛОГАМ[2018-09-24 05:07:05] NOTICE[1900] chan_sip.c: Registration from '<sip:101@62.109.22.138>' failed for '188.161.246.126:20586' - Wrong password [2018-09-24 05:07:19] WARNING[11767][C-0000043e] Ext. s: Friendly Scanner from 192.168.1.115 [2018-09-24 05:08:05] NOTICE[1900] chan_sip.c: Received SIP subscribe for peer without mailbox: 701 [2018-09-24 05:08:16] NOTICE[1900][C-0000043f] chan_sip.c: Failed to authenticate device <sip:Goip_kiev1@SERVER IP>;tag=7b34e92e [2018-09-24 05:08:18] NOTICE[1900][C-00000440] chan_sip.c: Failed to authenticate device <sip:Goip_kiev1@SERVER IP>;tag=a90a8162 [2018-09-24 05:08:24] NOTICE[1900][C-00000441] chan_sip.c: Failed to authenticate device <sip:Goip_kiev1@SERVER IP>;tag=c91c6956 [2018-09-24 05:08:28] NOTICE[1900][C-00000442] chan_sip.c: Failed to authenticate device <sip:Goip_kiev1@SERVER IP>;tag=8b7a9608 [2018-09-24 05:08:49] NOTICE[1900] chan_sip.c: Received SIP subscribe for peer without mailbox: 504 [2018-09-24 05:08:56] NOTICE[1900] chan_sip.c: Received SIP subscribe for peer without mailbox: 519 [2018-09-24 05:11:05] NOTICE[1900] chan_sip.c: Received SIP subscribe for peer without mailbox: 701 [2018-09-24 05:11:49] NOTICE[1900] chan_sip.c: Received SIP subscribe for peer without mailbox: 504 [2018-09-24 05:11:57] NOTICE[1900] chan_sip.c: Received SIP subscribe for peer without mailbox: 519 [2018-09-24 05:14:06] NOTICE[1900] chan_sip.c: Received SIP subscribe for peer without mailbox: 701 [2018-09-24 05:14:49] NOTICE[1900] chan_sip.c: Received SIP subscribe for peer without mailbox: 504 [2018-09-24 05:14:57] NOTICE[1900] chan_sip.c: Received SIP subscribe for peer without mailbox: 519 [2018-09-24 05:16:09] WARNING[12081][C-00000443] Ext. s: Friendly Scanner from 86.64.162.35;branch=z9hG4bKf7f5.aa39c326.0 [2018-09-24 05:16:27] NOTICE[1900] chan_sip.c: Peer 'Goip_kiev1' is now UNREACHABLE! Last qualify: 30 [2018-09-24 05:16:30] NOTICE[1900] chan_sip.c: Peer 'Goip_kiev1' is now Reachable. (30ms / 10000ms) [2018-09-24 05:16:58] NOTICE[1900][C-00000444] chan_sip.c: Failed to authenticate device <sip:Goip_kiev1@SERVER IP>;tag=0344ab0e [2018-09-24 05:17:02] NOTICE[1900][C-00000445] chan_sip.c: Failed to authenticate device <sip:Goip_kiev1@SERVER IP>;tag=ef2ab219 [2018-09-24 05:17:06] NOTICE[1900] chan_sip.c: Received SIP subscribe for peer without mailbox: 701 [2018-09-24 05:17:07] NOTICE[1900][C-00000446] chan_sip.c: Failed to authenticate device <sip:Goip_kiev1@SERVER IP>;tag=33384139 [2018-09-24 05:17:10] NOTICE[1900][C-00000447] chan_sip.c: Failed to authenticate device <sip:Goip_kiev1@SERVER IP>;tag=e4648c47 [2018-09-24 05:17:13] NOTICE[1900][C-00000448] chan_sip.c: Failed to authenticate device <sip:Goip_kiev1@SERVER IP>;tag=72499001 ВОПРОСЫ: 1) ПЕРЕПРОШИВАТЬ? 2) ПРЯТАТЬ ЗА НАТ? 3) У КОГО БЫЛО ЧТО-ТО ПОХОЖЕЕ. ОБА ДЕВАЙСЯ СТОЯТ УДАЛЕННО И (БЕЗ ОБСЛУЖИВАНИЯ ПОЧТИ..). ПОЭТОМУ НУЖЕН ДОСТУП К МОРДЕ БЫЛ... И ПЕРЕПРОШИВАТЬ ПРОБЛЕМАТИЧНО СЕЙЧАС ПОЭТОМУ. Активно пользуюсь астериском +goip больше 3-х лет. Такая фот фигня ((( кто что скажет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted September 25, 2018 · Report post ССЗБ, такое только за натом держать и телефонию в отдельный влан без доступа наружу (доступ по впн). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zoop18 Posted September 25, 2018 · Report post Тут вопрос, именно по этой железяке. Да стояла и стоит в DMZ (( Вопрос - решается прошивкой на новую или там все глубже. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted September 25, 2018 · Report post @Zoop18 вам спокойно не живется? зачем ей выход в интернет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zoop18 Posted September 25, 2018 · Report post Железяка сейчас стоит далеко (на вражеской территории))), местный роутер позволяет только дмз. Поэтому ставили именно так, как было, к сожалению. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted September 25, 2018 · Report post @Zoop18 тогда платите дальше за взломы) купить копеечный микротик и все) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zoop18 Posted September 25, 2018 · Report post Вот таких умников, как Вы уважаемый, честно говоря хватает. Я запросил мнение людей, относительно конкретной железяки, и конкретного бага именно у нее. Так же указал, что сама железка сейчас далеко и доступа к ней физически нет. Писать в 3-х сообщения, что нужно и важно поставить за НАТ, - в чем смысл? Вас услышали, согласились. Дальше, просто йорничество. По моей информации далеко не все гоипы ломаются, особенно если воткнуть пароль символов в 90-100. А вот у выше указанного была дырка, на момент покупки - информации по ней не было в принципе, сейчас после перепрошивки - вопрос вроде, как закрылся. Если, у Вас действительно хватает опыта и знаний, то попросил бы проверить конкретный IP на дырки например. В личке могут дать ip и описание входов, - пользы было бы больше))). Стандартный сканер, показывает что портов нет.... Во что я не совсем верю.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted September 26, 2018 · Report post Я вам так скажу - нефиг покупать всякие китайские поделки. Легко может быть так, что у него есть какой-нибудь мастер пароль который вы не можете сменить. Выставлять шлюз в интернет без роутера - плохая идея. Конечно у самих есть такие схемы, но если есть возможность лучше спрятать шлюз за нат и на роутере так же дополнительно ограничить к нему доступ. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zoop18 Posted September 26, 2018 · Report post 15 часов назад, Butch3r сказал: Я вам так скажу - нефиг покупать всякие китайские поделки. Легко может быть так, что у него есть какой-нибудь мастер пароль который вы не можете сменить. Выставлять шлюз в интернет без роутера - плохая идея. Конечно у самих есть такие схемы, но если есть возможность лучше спрятать шлюз за нат и на роутере так же дополнительно ограничить к нему доступ. Мать, бать, копать))) Именно такой там и был. Скажу больше он остается после перепрошивки, только в несколько усложненном виде ДЛЯ ВНЕШНЕГО ИСПОЛЬЗОВАНИЯ. Относительно китайско поделки. А ЧТО ЕСТЬ ДРУГИЕ?)) ЧТО ЕСТЬ АНАЛОГИ ГОИП? По соотношению цена-качество? Cпец. роутеры и другие коммутаторы "Беразка-101" или "Сигнал-9", прошедшие спецприемку и вероятно полную или частичную смену кода... не предлагать)) PS: вопрос решил. Думал, что кто-то сталкивался с аналогичной фигней. Конкретных кейсов, к счастью (сожалению своему) не нашел. Но описание проблемы именно по данной железяке раскопал. Всем спасибо за советы, ВОПРОС ЗАКРЫТ. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stalker35 Posted September 27, 2018 (edited) · Report post 7 hours ago, Zoop18 said: Но описание проблемы именно по данной железяке раскопал. Всем спасибо за советы, ВОПРОС ЗАКРЫТ. а с остальными не поделитесь? для истории хотябы т.к. иначе в данном треде получается уже "классика в современных интернет-дискуссиях на каверзные темы", которую лично наблюдал уже не раз: - муторно пышаешься решить какой-то каверзный кейс - лезишь погуглить, - проблема достаточно специфична, поэтому долго перебираешь разные формулировки вопроса (в том числе и на английском) - в итоге находится один тред по нужной теме - заходишь, читаешь в первом посте описание проблемы в точности той, что ты сам ищешь - далее следует немного флуда не по теме (вот прям как в этом треде) - и в последнем сообщении завершающий аккорд от самого ТС: "все что надо нашел и разобрался, тред можно закрыть" и тут ты сидишь в глубоком охреневании и с отвисшей челюстью: "чуваааак.... а чо ты сделал? как ты решил вопрос-то? хоть бы пару слов написал и ссылочку оставил где решение-то раскопал" Edited September 27, 2018 by stalker35 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zoop18 Posted September 27, 2018 · Report post @stalker35 Согласен, несколько Эгоистично. Весь алгоритм, описанный выше 1:1 типичен)) По факту: Есть GOIP - по сути без альтернативный шлюз по цене-функционалу. Беда в том, что внешне и программно похожие железяки производят несколько китайский контор. Так вот, купил и наигравшись с 4 и 8 портовыми железяками соотственно, через некоторое время купил на али еще 2-е 8-и портовых. Оказались вполне рабочими, но мать их за ногу с дырками в защите. Cерия прошивок GST1610 позволяла получить рута через телнет, не самым хитрым способом. Что и привело в итоге к убыткам на примерно 700 Евро (за два года). Фигня ситуации заключается в том, в разных странах стоит несколько таких железяк. И они за НАТом. А тот канал, который подвергся взлому подключен напрямую , но на нем так же стоял ранее GOIP со стабильной версией, который можно было разве что брутить через веб, ну или ддосить. Что смысла делать не было никому. После замены старого GOIP на новый (8 портовый) начались вопросы.... Смена паролей, вроде как помогла... но через 1,5 года его вскрыли опять. Ясень перец, что т.к. есть еще и другие задачи VOIP - не бизнес, а инструмент.... работали по принципу достаточности. Работет и хорошо ( Детали: Даже самая последняя прошивка http://dbltek.com/update/ Для это железяки. Имеет дырки... мать их за ногу: На порту: 2096 - через веб, доступен лог, который обновляется реалтайм, но это фигня... В нем проскакивают например пароли для пересылки СМС на почту))) да-да прям окрытым текстом пароли к ящикам)) На 13000 порту сидит телнет, который вполне отдается на логин dbladm и при не самой сложно математике пускает с правами рута. Проблема в том, что алгоритм доступа по данному логину защит в самой прошивке и вероятно скоро будет кем-то вскрыт.... Если китайцы не прикалывались и не оставили это логин просто так. На дырявой версии телнет вообще висел на 23 порту)) и скрипты для доступа лежат в сети открытым текстом. Фигня момента, что на более ранних железяках, сканер портов вообще не видит телнет, кроме вебморды ничего нет ((( и оно вполне стабильно работало длительное время, поэтому новые железяки были приняты за дружественные.... PS: понятно что нужно ставить за нат и ныкать как можно дальше.... но вот тут один из нескольких шлюзов нужно было поставить публично.... я попал ))) PPS: скоро буду сканировать и ставить за двойной нат... и не только утюг и стиральную машину.... не смешно, ибо интернет ВЕЩЕЙ - не за горами. И это будет АДД. Ссылки (тут все детали, копипастить смысла их нет): https://www.securitylab.ru/news/485463.php https://www.voipinfo.ru/forum/viewtopic.php?f=32&t=53208 https://github.com/JacobMisirian/DblTekGoIPPwn Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...