- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在运行:自由PBX 12.0.76.2 Asterisk 11.18.0FreePBX 64 位发行版 6.12.65
我有很多 POTS 线路用于传入和传出电话,以及 Twilio SIP trunk用于拨出国际电话。
我刚刚接到来自南加州的三个不同来电显示的重复调用,试图调用我们公司的许多内部分机。接到电话的员工会听到“水下数字音乱码”,然后挂断。然后,这些调用者发现了一些方法,可以通过我的 Twilio 和本地 POTS 线路调用数百美元的国际电话。目的地是布基纳法索和菲律宾的手机号码(其中大约有 3 个反复调用,有的 15 分钟成功,有的 4 分钟,大多数无人接听)。
我发现 AMI 存在漏洞,但自从补丁发布以来我已经修复了该漏洞。
我将拨入的电话号码列入黑名单(使用黑名单模块),从而停止了调用。但我仍然不知道他们成功利用了哪个漏洞。
在 CDR 中,我确实看到了他们在调用出站电话时似乎使用的上下文,“macro-dial-one”,然后是“from-internal-xfer”或“from-trunk-sip-TwilioTrunkOutB”。
同样的事情也发生在我们运行 PIAF v1.2.9、Asterisk 1.4.21.2 的旧 FreePBX 上,只不过它们似乎利用了手机的杂项目的地(现已删除),以某种方式允许它们调用国际号码从我们的系统。因此,它似乎与任何远程代码执行或权限升级无关。这是一些 IVR 漏洞。
有什么想法会发生这种情况吗?我已经在谷歌上搜索了我能搜索到的所有组合,但没有看到任何提及此漏洞的内容。
最佳答案
已解决!!!
当我在“FreePBX web gui/Settings/Asterisk Log File Settings”(保存在 Asterisk 的/var/log/asterisk/full.log 中)下打开 DTMF 时,我发现罪犯正在随机调用分机号,直到他们获得有效的分机号,当员工接听电话时,他们调用 *2(In-Call Asterisk attended Transfer),这是供我们员工调用的。当罪犯调用 *2 时,Asterisk 就会让他们控制转接电话(这样他们就可以调用他们想要调用的任何号码),让我们的员工保持沉默,然后挂断,罪犯继续调用国际(免费)电话,并且通话结束后,他们再次按 *2 并调用另一个国际电话。
哎呀。好痛苦啊。
解决方案 1: 因此,在“FreePBX web gui/Admin/Feature Codes”中,您可以禁用 *2 和 ##(以及任何其他可能被机器人利用的无用功能代码) )。
解决方案 2: 在“FreePBX web gui/Settings/Advanced Settings/Dialplan and Operatingal/Asterisk Dial Options & Asterisk Outbound Trunk Dial Options”中,您可以删除两者上的“Tt”并保留第一个一个带有“r”的(它编辑每个中继上的默认值......除非您在任何中继上绕过它)。确保按下每个旁边的绿色复选标记,然后点击大红色的“应用配置”。我测试了重新启用 *2 和 ## 功能,此更改也切断了它们。
我选择应用这两种解决方案。
感谢大家的帮助,我希望这可以帮助任何其他因话费欺诈、重拨、 war 拨号或任何他们所说的方式而被黑客攻击的人。让诈骗电话卡公司或黑客利用此漏洞见鬼去吧!
注意:我实际上监听了其中一个电话(通过 ChanSpy),发现自己正在与菲律宾的某人用西类牙语进行双向通信。这一定是一个可疑的电话卡服务,背负着毫无戒心的 Asterisk 受害者。耻辱。我希望我关于这个问题的许多帖子都能在 Google 上正确索引,这样遇到此问题的其他人就会知道如何填补这个漏洞。
编辑:在向 FreePBX 提交票证后,他们立即采取行动,并将在几天内(截至 2016 年 4 月 13 日)进行修复,让您可以选择限制“T "内部员工可以从系统中呼出。无论如何,调用者都会从 Dial() 参数中删除“T”。显然,他们不能只是从发行版中删除默认的“Tt”参数,因为有许多用户需要该功能来满足他们的情况。显然,从 Asterisk 诞生的第一天起,这就是一个问题。
关于twilio - 黑客通过我的 FreePBX IVR 调用国际电话,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36560509/
为了让我的代码几乎完全用 Jquery 编写,我想用 Jquery 重写 AJAX 调用。 这是从网页到 Tomcat servlet 的调用。 我目前情况的类似代码: var http = new
我想使用 JNI 从 Java 调用 C 函数。在 C 函数中,我想创建一个 JVM 并调用一些 Java 对象。当我尝试创建 JVM 时,JNI_CreateJavaVM 返回 -1。 所以,我想知
环顾四周,我发现从 HTML 调用 Javascript 函数的最佳方法是将函数本身放在 HTML 中,而不是外部 Javascript 文件。所以我一直在网上四处寻找,找到了一些简短的教程,我可以根
我有这个组件: import {Component} from 'angular2/core'; import {UserServices} from '../services/UserService
我正在尝试用 C 实现一个简单的 OpenSSL 客户端/服务器模型,并且对 BIO_* 调用的使用感到好奇,与原始 SSL_* 调用相比,它允许一些不错的功能。 我对此比较陌生,所以我可能会完全错误
我正在处理有关异步调用的难题: 一个 JQuery 函数在用户点击时执行,然后调用一个 php 文件来检查用户输入是否与数据库中已有的信息重叠。如果是这样,则应提示用户确认是否要继续或取消,如果他单击
我有以下类(class)。 public Task { public static Task getInstance(String taskName) { return new
嘿,我正在构建一个小游戏,我正在通过制作一个数字 vector 来创建关卡,该数字 vector 通过枚举与 1-4 种颜色相关联。问题是循环(在 Simon::loadChallenge 中)我将颜
我有一个java spring boot api(数据接收器),客户端调用它来保存一些数据。一旦我完成了数据的持久化,我想进行另一个 api 调用(应该处理持久化的数据 - 数据聚合器),它应该自行异
首先,这涉及桌面应用程序而不是 ASP .Net 应用程序。 我已经为我的项目添加了一个 Web 引用,并构建了各种数据对象,例如 PayerInfo、Address 和 CreditCard。但问题
我如何告诉 FAKE 编译 .fs文件使用 fsc ? 解释如何传递参数的奖励积分,如 -a和 -target:dll . 编辑:我应该澄清一下,我正在尝试在没有 MSBuild/xbuild/.sl
我使用下划线模板配置了一个简单的主干模型和 View 。两个单独的 API 使用完全相同的配置。 API 1 按预期工作。 要重现该问题,请注释掉 API 1 的 URL,并取消注释 API 2 的
我不确定什么是更好的做法或更现实的做法。我希望从头开始创建目录系统,但不确定最佳方法是什么。 我想我在需要显示信息时使用对象,例如 info.php?id=100。有这样的代码用于显示 Game.cl
from datetime import timedelta class A: def __abs__(self): return -self class B1(A):
我在操作此生命游戏示例代码中的数组时遇到问题。 情况: “生命游戏”是约翰·康威发明的一种细胞自动化技术。它由一个细胞网格组成,这些细胞可以根据数学规则生存/死亡/繁殖。该网格中的活细胞和死细胞通过
如果我像这样调用 read() 来读取文件: unsigned char buf[512]; memset(buf, 0, sizeof(unsigned char) * 512); int fd;
我用 C 编写了一个简单的服务器,并希望调用它的功能与调用其他 C 守护程序的功能相同(例如使用 ./ftpd start 调用它并使用 ./ftpd stop 关闭该实例)。显然我遇到的问题是我不知
在 dos 中,当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
在 dos 中,当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
我希望能够从 cmd 在我的 Windows 10 计算机上调用 python3。 我已重新安装 Python3.7 以确保选择“添加到路径”选项,但仍无法调用 python3 并使 CMD 启动 P
我是一名优秀的程序员,十分优秀!