这是一个创建于 338 天前的主题,其中的信息可能已经有所发展或是发生改变。
我有一台 FXO 的讯时语音网关,平时打家里的固定电话会通过另外个固定电话转到我手机上,有时候要看通话记录,所以对公网暴露端口,让我在外网能访问。我怕被黑了然后做了以下措施:
80 访问端口改成 48880
5060 语言信令端口改为 59960
rdp 端口从 10000-10100 改到 50000-50010
网页登陆密码从 admin 改为 12 位带数字带大小写带符号的密码
今天被警察通知,我家的电话在打诈骗电话,我一登录语音网关发现被黑了。
我实在搞不懂是怎么被黑的,有大佬可以给我解惑吗?
80 访问端口改成 48880
5060 语言信令端口改为 59960
rdp 端口从 10000-10100 改到 50000-50010
网页登陆密码从 admin 改为 12 位带数字带大小写带符号的密码
今天被警察通知,我家的电话在打诈骗电话,我一登录语音网关发现被黑了。
我实在搞不懂是怎么被黑的,有大佬可以给我解惑吗?
 |
1
XieBoCai 338 天前
网关本身有后门?
|
 |
2
pursuer 338 天前
只是改端口很容易被扫到的,要看密码爆破有没有日志记录,频率限制和 BAN IP 。web 看端口大概率还是没有 ssl 的,可能连个 wifi 都会被中间人一下,使用的服务出了漏洞被利用也是可能的
|
 |
4
NoDataNoBB 338 天前
改端口有一点用,但不是很有用。网上有很多扫描工具在不停地扫,只要暴露到公网,就会被扫描到。
考虑使用 端口敲门。 |
 |
5
Karte 338 天前
后门吧. 通过回复的数据包判断出是不是某一个公司的产品. 然后针对该产品查询漏洞, 然后攻击.
|
|
6
Karte 338 天前
不要直接暴露, 想访问先用 VPN 建立安全连接.
|
 |
7
virusdefender 338 天前
可能有啥漏洞,不一定是密码相关的事情导致的
|
 |
8
masterclock 338 天前
从我多年偶尔碰一下的经验看,所有 IPPBX 都是在漏洞上加了点功能
|
 |
9
polaa 338 天前  2
1. 购买 FXO 语音网关
2. 黑盒漏洞挖掘/提取固件灰盒漏洞挖掘 3. 提取设备指纹,在互联网上进行资产扫描/搜索 4. 漏洞利用 |
 |
10
somebody1 338 天前
有很多方式都可以实现上述的效果,但是你没有提供日志,所以无法确定黑客的 ttp 。
”有失败超过 5 次,ban99 分钟的设置“ 这个没啥用,一般都有代理池的,爆破问题不大,主要是你的密码复杂度要够高。 首先是扫描阶段,改端口只能增加黑客扫到的困难度,但是没啥保障性,一样能被扫到 然后入侵,有可能是密码爆破,但是我觉得大概率是有 0day 或者 nday ,这种语音设备的网络安全支持应该一般。 既然被黑了,就关了吧,家里没什么长期设备的话,黑客一般也懒得横向移动。大概率是广扫+批量的漏洞利用。 |
 |
11
lloovve 338 天前 via iPhone
一般这种设备都有一颗个超级密码
|
 |
12
WoneFrank 338 天前
其他端口确定安全就在 web 端口前面套个带认证的 nginx 。
如果不确定那就通过白名单、socks5 、vpn 这种方式访问。 |
 |
16
gvdlmjwje 338 天前
漏扫工具一扫就知道有啥漏洞了 然后通过漏洞攻击
你部署一个 WAF 比如长亭雷池这种,基本上能阻止 99%的自动工具/脚本小子 |
 |
17
nmap 338 天前
多半是 0day 漏洞
|
 |
18
guanzhangzhang 338 天前
你这种对外暴漏很危险,改默认端口只是减少,用 vpn 组网比 frp 映射和直接暴漏安全些。例如 3389 对外和 frp 映射到 ecs 的端口,你 3389 弱密码就是众生平等了。而如果是 vpn 组多个局域网,vpn 接入了才能访问 3389 端口
|
 |
19
hafuhafu 338 天前
密码强度还可以,那估计是有漏洞。
|
 |
20
CrossMythic 338 天前
VPN 或者过自建代理做个白名单比较好一点。安全厂商自己设备的漏洞都跟筛子一样,更别说其他的了
|
 |
21
ShinichiYao 338 天前
没用过 FXO ,不过都是基于 PBX 的,你的网页管理设了强密码,但是 SIP 分机客户端设了强密码吗?冒用你的落地线路不需要破解管理页面,破解分机就可以了
|
 |
22
PROJECT OP @ShinichiYao #21 没开 sip 分机功能,我只需要自动转接
|
|
23
ShinichiYao 338 天前
管理页面 80 端口应该是没有 https ,看是不是可能被 http 劫持
|
 |
24
y1y1 338 天前
0day 或者有后门
|
 |
25
realpg PRO 别鸡儿问了 没独立开发能力就不要碰语音技术
这特么是第一黑产行业啊,开什么玩笑 |
 |
26
ldapadmin 338 天前
改了端口开放在公网依旧可以被测绘发现到,优先的解决方案就是避免暴露公网或者是设置白名单访问。
FXO 的语音网关是有漏洞的 |
 |
27
v1 338 天前
100%网关本身 0day 进来的
|
 |
28
lovelylain 338 天前 via Android
只是你自己用的话直接 wireguard 吧,除了 wg 不暴露其他端口
|
 |
29
bg7lgb 338 天前
没盗打国际长途算是良心了。
这种 IP 网关安全性很差。 |
 |
30
fatekey 338 天前
这种物联网设备肯定不能直接暴露在公网的,一堆黑产盯着呢,漏洞+资产测绘,嘎嘎乱杀
|
 |
31
cnevil 338 天前
请记住:改端口作用约等于 0
从 0-65535 扫一遍不需要多少时间的,你可以自己下个 nmap 试一下,愿意多花点时间还可以通过连接接口的一些指纹信息直接判断出来是什么服务。你这大概率是设备有什么漏洞直接进来的,搜一下设备型号版本啥的看有没有线索吧 |
 |
32
saucerman8 337 天前
显然是网关固件有 0day ,改端口没用,要么网络防火墙白名单,要么关掉外网访问
|
 |
34
LaoChen 337 天前
|
 |
36
peili 337 天前
1. 改端口是个不错的习惯,但是对于攻击者来说,几乎没有用处,nmap massscan 等太多扫端口的工具,几分钟就可以扫描+识别 65535 全端口,或者你的这个资产早已经被资产搜索引擎收录,攻击者都不用扫端口
2. 密码强度不算太差,你也有 BanIP 的策略,理论上加代理池爆破问题不大,但我觉得这次事件不是密码进来的 3. 赶紧查一下你的硬件版本固件版本吧,大概率用漏洞进来的 大致猜测一下攻击路径 1. 已知此型号此固件版本存在 RCE 或者权限绕过漏洞 2. fofa shodan 或者其他引擎批量收集此产品此型号的的全球资产,比如导出 5 万条,其中包括你的 3. 验证这 5 万条资产的存活 4. 存活的资产直接用 0day 或者 Nday 打进后台 建议 1. 首先查一下你的硬件版本固件版本,该升级的尽快升级 2. 密码 18 位以上大小写+数字+符号,单词数字等全随机,不要有个人习惯,比如常用用户名,常用的生日数字等,攻击者很容易做出一份针对个人的社工字典,爆破精度大大提高 |
 |
38
qq296015668 332 天前
尽量通过 vpn 之类的,然后内网访问吧。。
|
 |
39
kkjjjllkk 159 天前 via iPhone
楼主是上海联通还是移动 h248 吗?
|
Select Language