Pull to refresh

Comments 18

Вот почему мне то мне кажется что FreePBX это очень сладкая система для взлома и угона телефонного трафика.
Мы установили FreePBX на машину, которая смотрела наружу и через час обнаружили, что наш свеженький сервер участвует в ботнете, который DDOSит сайты на joomla. Где-то есть дыра, позволяющая залить шелл. Версия была не самая последняя, возможно, исправлено.
Вы говорите о «готовом дистрибутиве» в виде iso — AsteriskNow. Я же делаю свою работу иначе.
Нет, они говорят именно о FreePBX. Присоединяюсь к вышеозначенным ораторам.
FreePBX — набор скриптов, в основном на php. Если Вы не можете закрыть апач паролем через htpasswd и .htaccess, закрыв любую возможность использования недочетов в скриптах — вы не можете выступать, как специалист в области безопасности.

К слову, более 50 серверов создано и обслуживаются мною на FreePBX.
Закрывайте на здоровье, мне ваш порт 80 не нужен, я 5060 буду атаковать. FreePBX по умолчанию идет с уязвимостями в настройках asterisk, и если вам для настройки нужна веб-морда, то «вы не можете выступать как специалист» в области ip-телефонии.
Я очень рад, что вы запомнили порт транспортного протокола. Можете попробовать атаковать мой сервер: sip.vmclouds.ru, если «взломаете» 5060 — признаю, что вы гуру.
Пока что вы — трепло.

В голый астериск я умел раньше чем во FreePBX, я об этом писал. Жаль, что вы писатель, не читатель.
> если «взломаете»
Да без проблем. О файле iax.conf слышали? Трогали его когда-нибудь? Чего это вы звонки без авторизации по iax2 принимаете?
И это всего за каких-то 10-15 минут из найденного. Результат nmap вашего сервера вообще выглядит как какой-то CTF for dummies, аж руки чешутся.
В личку вам описал уязвимость, метод её эксплуатации и устранения.
Звонки по iax принимаются от всех для работы моего sip-id: whoim@asterisk.ru
Это нормально, можете попытаться это использовать для чего то нехорошего. Как получится — так и пишите.
Личку почитаю, конечно, отпишусь
Отписал в личку. Вкратце — рабочий алгоритм (принимать звонки от всех по iax и направлять в очередь) вы приняли за баг.
Про nmap — ничего не написали, жду с нетерпением, когда у вас получится что нибудь :)
В общем, персонаж неспособен ни на что, кроме как называть всех «школьниками» в ЛС. Обычный, простите, писдобол, запомнивший пару словечек и научившийся ковырять extensions.conf в mcedit.
Я дал ему все, чтобы он показал свою крутость делом. Дела не было, ну да подождем.
Ссылку на ваши оскорбления передал в службу поддержки.
За языком советую следать — это раз.
Все ваши «супир-сервиры» где каждая дыра, это не дыра а «рабочий алгоритм» пометил, спасибо. Еще подкинете?
Как это волшебно — оскорблять первым, а получая обратку — бежать жаловаться. Вы еще меня называете школьником?
Досвидания. Жду результата делом.
Вбивать чужие номера в форму «заказ звонка с сайта» — все, на что вы способны?)
Привет Липецку :)
Один простейший прием позволяет закрыть все и сразу — apache basic auth.
Как по мне не хватает еще ограничения по времени, когда последний раз звонил клиент. У меня реализовано на голом Asterisk подобная схема, но у меня ограничениее в 24 часа, т.е. если клиент звонил последний раз более чем сутки назад, то он сразу идет в общую очередь, если нет, то на последнего ответевшего оператора. Сделано это с тем замыслом что если клиент давно уже звонил то и проблема вероятнее всего у него уже другая. В вашем же случае получается что внезависимости от проблемы, клиент попадает на одного и того же оператора, что не совсем верно, опять же по моему мнению.
Изменить запрос под Ваше требование несложно, в принципе :)
Вполне кстати здравое требование!
Sign up to leave a comment.

Articles