Тема: TEM-824 самопроизвольно производит международные звонки
Доброго времени суток, коллеги. Кратко опишу ситуацию.
TEM-824 (8+24).
Много звоним на межгород по РФ. В целях экономии воткнули VOIP-шлюз на 4CO, повесили три GSM-шлюза с подходящими тарифами из “большой тройки” операторов. Оставили одну медную линию для факсов.
Купили ПО “ITEX Тарификатор” (http://www.itex.ru/dev/products/tariff2008), чтобы вести учет расхода по отделам и пользователям.
Первое разочарование встретили, когда прога отказалась работать по USB, через который работает Maintenance Console.
Отыскали шнурок COM(RS-232) гнездо-гнездо, подключили к стоящему рядом серверу, программа показала звонки. В пятницу не было времени разбираться, поэтому ПО пока отложили в сторону, т.к. подключение по порту показывала через раз.
Так оно провисело выходные и понедельник. Днем в понедельник заглядывали в программу, она показывала данные за ПТ и ПН, не выводя звонки за выходные, хотя звонки точно были. После обеда перестала совсем считывать данные с порта. ПО опять отложили до возможности полностью скурить мануал.
Во втором часу ночи во вторник позвонила тех. поддержка VOIP-провайдера, с сообщением, что от нас идут звонки в Восточный Тимор и Спутниковые сети GMSS. С целью предотвращения космических счетов нам прикрыли МН звонки, после чего ночью же продолжились звонки звонки на номера Москвы и области.
Изучив логи, выяснили, что подобные звонки были в нерабочее время и в выходные. До этого времени подобных звонков не было. Пришлось ехать в офис, оперативно выдергивать GSM-шлюзы, чтоб не растратиться совсем.
Прогу удалили, шнурок RS-232 выдернули. Странная активность прекратилась. Два порта из четырех на шлюзе были в статусе PlayBusyTone, т.е. АТС не выполнила отбой.
Теперь умозаключения и вопросы.
Техподдержка поведала о схемах заработка в небольших странах операторами-монополистами в виде накрутки звонков в свои сети из разных точек мира. Реализуется вирусами, угонами VOIP-аккаунтов и др. Кто-то потом оплачивает счета, а оператору капают деньги за связь.
Явно АТС начала позванивать, будучи управляема через порт. Команды могли быть получены либо от ITEX-тарификатора, либо от другой программы, командующей на порт. В процессе эксплуатации программа работала с переменным успехом, теряя контроль над портом. Допускаю, что управление портом у нее отбирал другой процесс, либо она переходила в особое состояние, в котором “наказывала” владельца АТС. Добавлю, что ПО куплено официально и ключ получен от разработчика.
На самом сервере стоит минимальный набор ПО, пользователи не работают, вирусов не наблюдалось. Все ПО лицензионное и своевременно обновляется.
Также предполагаю, что на COM1 мог слать мусор какой-либо другой процесс, и АТС, распознав из набора данных определенные команды решила начать звонить.
Вопрос знающим. Насколько сложен и упорядочен протокол общения и побуждения к звонкам через RS-232. Могла ли случайная последовательность спровоцировать такие действия АТС, или же это должна была быть структурированная пачка команд?
Есть мысли, что именно послужило причиной и сталкивался ли кто-нибудь с подобным явлением?
Бред феерический, да простит меня ТС. При чём тут программа тарификации и СОМ шнурок??? Включите мозг, и почитайте про взлом DISA на самой станции (на форуме сто раз обсуждалось), и выключите на ней же опцию “Transfer to CO”, и сразу наступит Вам счастье.
Гораздо приятнее слышать, что это бред, нежели ковырять сервер в непонятках и постоянной параное.
В [606] Стояли отметки на Jack01-Jack24 в столбцах “Переадр. на CO” и “Пост. Переадр. на CO”. Все снял.
Ранее мы приглашали телефониста и просили сделать возможность сотрудникам устанавливать переадресацию на мобильный во время обеда или отсутствия на рабочем месте. Использовали через 713+9+№ Мобильного
Я правильно понимаю, что уязвимость в DISA теперь исключает у нас пользование такой фичей?
ДИСА задействована? Пароль на АТС дефолтный? Где Ваш телефонист сейчас?
ДИСА задействована? Пароль на АТС дефолтный? Где Ваш телефонист сейчас?
Сидит дома и не понимает, почему у него пропали халявные звонки зарубеж.
Сколько насчитал вам уже провайдер $ ?
3-1 по консоли покажете?
Сидит дома и не понимает, почему у него..
в выходные бабло в личном кабинете росло, а теперь нет.
ДИСА задействована? Пароль на АТС дефолтный?
Да, диса на всех 8 CO. Пароль был дефолтный 1234. Сейчас сменили.
Сколько насчитал вам уже провайдер $ ?
МН-звонки бдящий суппорт сразу заблокировал. Пробуждение во втором часу ночи и поездка в офис спасли от страшных последствий.
3-1 по консоли покажете?
Диса на всех 8 CO + OGM1
Повторю свой вопрос:
Ранее мы приглашали телефониста и просили сделать возможность сотрудникам устанавливать переадресацию на мобильный во время обеда или отсутствия на рабочем месте. Использовали через 713+9+№ Мобильного
Я правильно понимаю, что уязвимость в DISA теперь исключает у нас пользование такой фичей?
Ранее мы приглашали телефониста и просили сделать возможность сотрудникам устанавливать переадресацию на мобильный во время обеда или отсутствия на рабочем месте. Использовали через 713+9+№ Мобильного
Я правильно понимаю, что уязвимость в DISA теперь исключает у нас пользование такой фичей?
Краткий ответ - неправильно.
Телефониста избить.
Сетевика возможно тоже.
Зона ответственности сетевика в данном инциденте где проходит?
Зона ответственности сетевика в данном инциденте где проходит?
Шлюзы тоже взламываются.
Зона ответственности сетевика в данном инциденте где проходит?
Шлюзы тоже взламываются.
Закрыть доступ из WAN + сильный пароль - это достаточные меры защиты?
Не знаю, я по АТСкам специализируюсь.
Закрыть доступ из WAN + сильный пароль - это достаточные меры защиты?
На некоторые шлюзы есть мастер-пароли, или оставленные по недосмотру аккаунты.
Не знаю, я по АТСкам специализируюсь.
На АТСках тоже.
На АТСках тоже.
На виндах и линухах тоже бэкдоры имеются, но почему то массовой паранои мы пока, к счастью, не наблюдаем.
Дык и “на межгород” не все попадают.
Можете посмеяться. В [511] был отключен режим защиты совсем. Несколько месяцев.
Сейчас включили режим защиты внешних линий с 8-значным паролем.
Есть еще куда стоит заглянуть?
При входе в консоль выяснилось, что пароль на программирование сменился, а системный пароль остался 1234. Где его из программы можно изменить?
