V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
PROJECT
V2EX  ›  程序员

我遇到个很奇葩的网络安全问题

  •  
  •   PROJECT · 30 天前 · 4092 次点击
    我有一台 FXO 的讯时语音网关,平时打家里的固定电话会通过另外个固定电话转到我手机上,有时候要看通话记录,所以对公网暴露端口,让我在外网能访问。我怕被黑了然后做了以下措施:
    80 访问端口改成 48880
    5060 语言信令端口改为 59960
    rdp 端口从 10000-10100 改到 50000-50010
    网页登陆密码从 admin 改为 12 位带数字带大小写带符号的密码

    今天被警察通知,我家的电话在打诈骗电话,我一登录语音网关发现被黑了。

    我实在搞不懂是怎么被黑的,有大佬可以给我解惑吗?
    38 条回复    2024-12-02 18:52:08 +08:00
    XieBoCai
        1
    XieBoCai  
       30 天前
    网关本身有后门?
    pursuer
        2
    pursuer  
       30 天前
    只是改端口很容易被扫到的,要看密码爆破有没有日志记录,频率限制和 BAN IP 。web 看端口大概率还是没有 ssl 的,可能连个 wifi 都会被中间人一下,使用的服务出了漏洞被利用也是可能的
    PROJECT
        3
    PROJECT  
    OP
       30 天前
    @pursuer 有失败超过 5 次,ban99 分钟的设置
    NoDataNoBB
        4
    NoDataNoBB  
       30 天前
    改端口有一点用,但不是很有用。网上有很多扫描工具在不停地扫,只要暴露到公网,就会被扫描到。

    考虑使用 端口敲门。
    Karte
        5
    Karte  
       30 天前
    后门吧. 通过回复的数据包判断出是不是某一个公司的产品. 然后针对该产品查询漏洞, 然后攻击.
    Karte
        6
    Karte  
       30 天前
    不要直接暴露, 想访问先用 VPN 建立安全连接.
    virusdefender
        7
    virusdefender  
       30 天前
    可能有啥漏洞,不一定是密码相关的事情导致的
    masterclock
        8
    masterclock  
       30 天前
    从我多年偶尔碰一下的经验看,所有 IPPBX 都是在漏洞上加了点功能
    polaa
        9
    polaa  
       30 天前   ❤️ 2
    1. 购买 FXO 语音网关
    2. 黑盒漏洞挖掘/提取固件灰盒漏洞挖掘
    3. 提取设备指纹,在互联网上进行资产扫描/搜索
    4. 漏洞利用
    somebody1
        10
    somebody1  
       30 天前
    有很多方式都可以实现上述的效果,但是你没有提供日志,所以无法确定黑客的 ttp 。

    ”有失败超过 5 次,ban99 分钟的设置“ 这个没啥用,一般都有代理池的,爆破问题不大,主要是你的密码复杂度要够高。

    首先是扫描阶段,改端口只能增加黑客扫到的困难度,但是没啥保障性,一样能被扫到

    然后入侵,有可能是密码爆破,但是我觉得大概率是有 0day 或者 nday ,这种语音设备的网络安全支持应该一般。

    既然被黑了,就关了吧,家里没什么长期设备的话,黑客一般也懒得横向移动。大概率是广扫+批量的漏洞利用。
    lloovve
        11
    lloovve  
       30 天前 via iPhone
    一般这种设备都有一颗个超级密码
    WoneFrank
        12
    WoneFrank  
       30 天前
    其他端口确定安全就在 web 端口前面套个带认证的 nginx 。
    如果不确定那就通过白名单、socks5 、vpn 这种方式访问。
    PROJECT
        13
    PROJECT  
    OP
       30 天前
    @somebody1 #10 12 位带数字带大小写带符号的密码,这个密码能被爆破,我都觉得不可思议
    PROJECT
        14
    PROJECT  
    OP
       30 天前
    @lloovve #11 这个我已经关闭了,只有网页登陆的密码,是 12 位带数字带大小写带符号的密码
    PROJECT
        15
    PROJECT  
    OP
       30 天前
    @somebody1 #10 应该是利用漏洞了
    gvdlmjwje
        16
    gvdlmjwje  
       30 天前
    漏扫工具一扫就知道有啥漏洞了 然后通过漏洞攻击

    你部署一个 WAF 比如长亭雷池这种,基本上能阻止 99%的自动工具/脚本小子
    nmap
        17
    nmap  
       30 天前
    多半是 0day 漏洞
    guanzhangzhang
        18
    guanzhangzhang  
       30 天前
    你这种对外暴漏很危险,改默认端口只是减少,用 vpn 组网比 frp 映射和直接暴漏安全些。例如 3389 对外和 frp 映射到 ecs 的端口,你 3389 弱密码就是众生平等了。而如果是 vpn 组多个局域网,vpn 接入了才能访问 3389 端口
    hafuhafu
        19
    hafuhafu  
       30 天前
    密码强度还可以,那估计是有漏洞。
    CrossMythic
        20
    CrossMythic  
       30 天前
    VPN 或者过自建代理做个白名单比较好一点。安全厂商自己设备的漏洞都跟筛子一样,更别说其他的了
    ShinichiYao
        21
    ShinichiYao  
       30 天前
    没用过 FXO ,不过都是基于 PBX 的,你的网页管理设了强密码,但是 SIP 分机客户端设了强密码吗?冒用你的落地线路不需要破解管理页面,破解分机就可以了
    PROJECT
        22
    PROJECT  
    OP
       30 天前
    @ShinichiYao #21 没开 sip 分机功能,我只需要自动转接
    ShinichiYao
        23
    ShinichiYao  
       30 天前
    管理页面 80 端口应该是没有 https ,看是不是可能被 http 劫持
    y1y1
        24
    y1y1  
       30 天前
    0day 或者有后门
    realpg
        25
    realpg  
       30 天前
    别鸡儿问了 没独立开发能力就不要碰语音技术

    这特么是第一黑产行业啊,开什么玩笑
    ldapadmin
        26
    ldapadmin  
       30 天前
    改了端口开放在公网依旧可以被测绘发现到,优先的解决方案就是避免暴露公网或者是设置白名单访问。
    FXO 的语音网关是有漏洞的
    kk2syc
        27
    kk2syc  
       30 天前
    100%网关本身 0day 进来的
    lovelylain
        28
    lovelylain  
       30 天前 via Android
    只是你自己用的话直接 wireguard 吧,除了 wg 不暴露其他端口
    bg7lgb
        29
    bg7lgb  
       30 天前
    没盗打国际长途算是良心了。

    这种 IP 网关安全性很差。
    fatekey
        30
    fatekey  
       30 天前
    这种物联网设备肯定不能直接暴露在公网的,一堆黑产盯着呢,漏洞+资产测绘,嘎嘎乱杀
    cnevil
        31
    cnevil  
       30 天前
    请记住:改端口作用约等于 0
    从 0-65535 扫一遍不需要多少时间的,你可以自己下个 nmap 试一下,愿意多花点时间还可以通过连接接口的一些指纹信息直接判断出来是什么服务。你这大概率是设备有什么漏洞直接进来的,搜一下设备型号版本啥的看有没有线索吧
    saucerman8
        32
    saucerman8  
       30 天前
    显然是网关固件有 0day ,改端口没用,要么网络防火墙白名单,要么关掉外网访问
    realpg
        33
    realpg  
       30 天前
    @bg7lgb #29
    卖国际长途那几个钱 跟诈骗落地的费率比 一个天上一个地下
    干黑产的又不傻
    LaoChen
        34
    LaoChen  
       29 天前
    @masterclock 在漏洞上加了点功能
    -> 笑死,精辟概括

    好奇一下,楼主被警察找了之后,啥后果?要不要(部分)赔偿对面的诈骗损失?
    PROJECT
        35
    PROJECT  
    OP
       29 天前
    @LaoChen #34 不用的,又不是我打的
    peili
        36
    peili  
       29 天前
    1. 改端口是个不错的习惯,但是对于攻击者来说,几乎没有用处,nmap massscan 等太多扫端口的工具,几分钟就可以扫描+识别 65535 全端口,或者你的这个资产早已经被资产搜索引擎收录,攻击者都不用扫端口
    2. 密码强度不算太差,你也有 BanIP 的策略,理论上加代理池爆破问题不大,但我觉得这次事件不是密码进来的
    3. 赶紧查一下你的硬件版本固件版本吧,大概率用漏洞进来的

    大致猜测一下攻击路径
    1. 已知此型号此固件版本存在 RCE 或者权限绕过漏洞
    2. fofa shodan 或者其他引擎批量收集此产品此型号的的全球资产,比如导出 5 万条,其中包括你的
    3. 验证这 5 万条资产的存活
    4. 存活的资产直接用 0day 或者 Nday 打进后台

    建议
    1. 首先查一下你的硬件版本固件版本,该升级的尽快升级
    2. 密码 18 位以上大小写+数字+符号,单词数字等全随机,不要有个人习惯,比如常用用户名,常用的生日数字等,攻击者很容易做出一份针对个人的社工字典,爆破精度大大提高
    PROJECT
        37
    PROJECT  
    OP
       28 天前
    @peili #36 谢谢
    qq296015668
        38
    qq296015668  
       25 天前
    尽量通过 vpn 之类的,然后内网访问吧。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   937 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 21:16 · PVG 05:16 · LAX 13:16 · JFK 16:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.