ViciDial Logo  English

Deutschland Support     Kontakt    Impressum

Consulting Training Hosting Support Hardware
Home Sofort Hilfe! Installation Konfiguration Optimieren Notfälle Servicepläne Anleitungen Vorsicht Hacker! Sonstiges

Vorsicht Hacker!!!

Update Juni 2014:
In der letzten Zeit sehen wir wieder vermehrt Einbruchsversuche in Vicidial Systeme. Stellen Sie sicher das Ihre Systeme nur intern in geschützten Netzwerken zu erreichen sind.  Nachdem Systeme gezielt über Suchmaschinen abgefragt werden um diese anzugreifen stellen sie am besten auch sicher das die Systeme über eine robots.txt Datei die Indizierung in Suchmaschinen verbietet. Es sind nach dem Report zu Sicherheitslücken in Vicidial nun auch vollständig automatisierte toolkits für den Angriff auf Vicidial Systeme im Einsatz.

1. Juni 2012: Seit einigen Tagen erleben wir vermehrt Angriffe auf Vicidial Systeme. Während Angriffe auf jedwede im Internet erreichbare Systeme für uns nichts neues sind, so mussten wir jedoch feststellen das es hierbei um zum Teil automatisierte Angriffe handelt, die gezielt gegen Vicidial Systeme gerichtet sind.

Potentiell gefährdet sind alle Systeme die über das Internet erreichbar sind, vor allem wenn der http Zugriff von außen möglich ist.

Der typische Einbruch findet über das Webinterface statt.

Die Einbrecher testen das System auf verschiedene vorhandene Sicherheitslücken. Finden sie eine, kommen sie innerhalb weniger Stunden oder Tage wieder und versuchen das System zu übernehmen. Dies geschieht z.B. durch das Einspielen eines Backdoor Programmes. Die Eindringlinge können Ihre Telefonleitungen unberechtigt benutzen oder auf Ihre Kundendaten zugreifen! So kann innerhalb von weniger als einer Stunde ein Schaden von Tausenden € entstehen - vom Verlust von Daten, potenziellen Problemen mit Kunden und Ihrer Reputation ganz abgesehen! Es werden automatisiert SIP Zugangs Daten vom System ausgelesen was natürlich viel schneller geht als ein Brute Force (Rohe gewalt) Angriff.

Die Tools zum automatisierten Einbruch und automatischen Erkennen von Vicidial Systemen legen die Vermutung nahe das wir in Zukunft noch mehr zielgerichtete Einbruchsversuche sehen werden.

Die ersten Löcher wurden von der Vicidial Group bereits gestopft. Jedoch klopfen die Hacker Vicidial im moment anscheinend systematisch nach Sicherheitslücken ab. Es ist zu befürchten das dies nicht die letzte unangnehme Nachricht war, die wir zu diesem Thema gehört haben.

Wenn Ihr System vom Internet oder über das Internet zugreifbar ist, oder Ihre Agenten PCs zugriff zum Internet haben empfehlen wir unbedingt die folgenden Schritte:

  • Wenn möglich Zugriff direkten über das Internet unterbinden!!! bzw
  • Zugriff via IP auf vertrauenswürdige Partner beschränken
  • SIP Partner nur aus bekannten IP Ranges akzeptieren, die meisten Provider werden Ihnen diese Daten nennen können. Vor allen Dingen ist das Absichern des Port 5060 wichtig. 
  • Sip Provider / Carrier wenn möglich auf Ihre IP begrenzen! Dadurch verhindern Sie das Verbindungen mit geklauten Passwörtern von anderen Servern hergestellt werden können. Wenn möglich die Auswahl auf Rufnummern begrenzen die auch wirklich benötigt werden. Vor allem nicht benötigte internationale Ziele und Mehrwertrufnummern sollten blockiert werden! Auch werden Nationale sowie auch Internationale Handy nummern gerne von Betrügern verwendet die diese dann auf Mehrwertnummern umleiten. Alle Regelmäßig nicht verwendeten Nummernbereiche sollten beim Provider geschlossen werden.
  • robots.txt die indizieren für Suchmaschinen verbietet, ins Basisverzeichnis des Webservers legen. Dies macht es schwerer für Kriminelle Ihre Vicidial Server zu finden.
  • Vicidial update auf aktuelle Trunk Version ausführen, da in dieser verschiedene Probleme bereits behoben sind!
  • .txt Dateien in den Webverzeichnissen löschen und den Zugriff auf diese in der apache configuration verhindern. Je nach Version Werden hier verwendete Passworte im Klartext mit abgespeichert. (Normalerweise sollte dies eigendlich nicht passieren wenn die System option "Web root writable" auf 0 gesetzt ist, leider ist dies nicht in allen Fällen so, auch das ausgeben "falscher" Passwörter muss als Risiko angesehen werden, da diese nicht zwingenderweise "falsch" sind.)
  • Vtiger wenn nicht verwendet entfernen oder vom Internet aus nicht zugreifbar machen - Security updates einspielen! Ausserdem hilft es zur Vermeidung der Ausnutzung neuer Schwachstellen einen anderen Verzeichnissnamen zu verwenden um das automatische suchen nach verwundbaren Systemen zu erschweren.
  • PhpMyadmin wenn nicht verwendet entfernen oder vom Internet aus nicht zugreifbar machen - security updates einspielen! Ausserdem hilft es zur Vermeidung der Ausnutzung neuer Schwachstellen einen anderen Verzeichnissnamen zu verwenden um das automatische suchen nach verwundbaren Systemen zu erschweren.
  • asterisk manager port 5038 auf Firewall für Zugriff über das Internet sperren oder/und sichere Passwörter in /etc/asterisk/manager.conf und in Admininterface unter Servers ( Manager User, Manager Secret, Manager Update User, Manager Listen User, Manager Send User) zu ändern.
  • Passwörter für die Systeminternen Benutzer VDAD und VDCL ändern! Das Passwort heisst "donotedit" kann (und Muss) aber unbedingt geändert werden.
  • Fail2ban installieren mit asterisk patches und config
  • Danach alle System, Datenbank und SIP passworte ändern!

Wenn Sie Hilfe bei der Sicherung Ihres Systemes oder der Wiederherstellung nach einem Einbruch benötigen stehen wir Ihnen gerne zur Verfügung.

Vorsicht: Es gibt mittlerweile automatisierte Hacker-Tools die nach Vicidial Systemen suchen und diese Systematisch auf schwachstellen untersuchen und dann auch automatisiert hacken! Diese Tools werden auch von Hackern auf infizierten PC Systemen oder Laptops aufgespielt.

Kontaktieren sie uns - Wir helfen Ihnen gerne weiter.

fotolia_2114490.jpg

Unsere Service Pläne erlauben Ihnen die laufenden Kosten für Ihr Call Center gering zu halten. Mit festen monatlichen Preisen und der Möglichkeit Supportstunden anzusammeln können Sie unkalkulierbare Rechnungen vermeiden und erhalten optimalen Service zu einem stark reduzierten Preis!

 

flyingpenguin.de UG (haftungsbeschränkt) © 2013
National: (06542) 934 8890   International: +49 6542 934 8890
Webdesign Karin Uhlig