Исповедь косяпора

Дык я же и не понимаю, каким макаром вообще этот пакет прилетел из вне сегмента локальной сети. Его должно было отшить еще на уровне файервола.

или так

ТС, сочувствую тебе. Профессионально занимаюсь Voip с 2003 года, не по-наслышке знаю о твоих проблемах. 1.5 ляма - далеко не предельная сумма попадалова. У тебя всего-то 1 поток был, представь, что бывает, когда людям * ломают, у которого нет ограничений по кол-ву линий? Но, есть важный нюанс! _Правильный_ оператор, особенно подключающий Voip, всегда имеет систему фрод-контроля, которая позволяет исключить или минимизировать попадалово клиента в случае взлома его оборудования. Как показала твоя практика, РТК - дряной, неправильный оператор. Беги от него, ТС! Или, если в ИТ не вернешься, советуй бежать своему последователю. Ибо арабы не дремлют и взломать могут любого.

Прилетел он просто - на внешний IP навешанный на инетовский интерфейс циски (связь с мумбаями и москвой).

Файерволл прежде чем отшивать пакеты каждый раз заглядывает в заголовок пакетов для уточнения от кого он пришел - если от своего, то дать доступ в рамках разрешенных ресурсов, если от левого - дропнуть и записать журнальчик. В общем дропал он дропал, пока не прилете пакет с определенной последовательностью битов и циска зомбировалась - дала доступ к телефонии.

Добавлено в 17:00

Скорее всего РТК после этого всерьез задумалась о фрод-контроле, точнее о его отсутствии. Вообще от РТК там некуда деваться - других магистралов или ISP в радиусе 700 км там нет.

Наша контора тоже когда-то поимела цоррес с этим бэкдором в IOS'е. Правда, не на 1,4 ляма, а раз в 10 меньше. А самый цимус в том, что в РТК до сих не нашли договор на предоставление услуг междугородней/международной связи, поэтому юристы показали им хрен и отказались оплачивать незапрошенную услугу. РТК сильно обозлился, но сделать ничего не смог.
З.Ы. Ещё была весёлая версия IOS'а, с которой циски ложились от пингов.

Читал где-то на наге о том как у кого-то через 4 потока Е1 в течении 2-х недель * терминировал войп в МН/МГ, но там все обошлось просто - банкротство и интерпол.

Я вот так и написал в обосновании, почему нам нужен новый ИБП на комп на складе нефтебазы. Причем стоимость самого компа сравнима со стоимостью ИБП, но аксесовская база учета, которой пользовались фирмы, хранящие на базе топляк, написанная мной, большего и не хотела.

А писал я обоснование на имя Финдиректора потому, что эта ушлая баба не вылезала из-под следствия из-за махинаций с финансами.

При этом она понимала зачем мягкое кресло нужно бухгалтеру и не понимала зачем программисту компьютер, если он всё знает, а не знает, так уволим. Что? Программу писать? Садись сразу за комп работника, чье место ты автоматизируешь, и пиши код. У тебя 10 минут -- ему работать надо уже ща в твоей программе.

Как вспомню, так вздрогну...

Я тоже недавно обосрался. Небольшая конторка, я одмин, у меня в подчинении эникей. Односайтовый домен, пяток GPO в 2 OU, 3 учетки с правами domain admin: я, помощник, и встроенная учетка. Юзеру на личный почтовый ящик в мейл приходит письмо с архивом, внутри js скрипт. Юзер тычет, эффекта (видимового нет), звонит нам, помощник помог запустить скрипт с правами админа доменного. Зашифровались все сетевые диски, все расшаренные папки на всех серверах завода, это был пиздец, документооборот встал. За закрытый ключ вымогатели просли 4000 евро. Я себя почувствовал примено как автор, также пошел к СБшнику, к директору, и как есть обрисовал ситуацию.
В итоге недели торгов с жуликами ключ у них таки купили за 7000 рублей. Нас также никто не наказал, а мы провели работу над ошибками в направлении информационной безопасности нашего предприятия. Заодно прошерстили все наши конторы, которые мы держим на аутсорсе.
Не ошибается тот, кто ничего не делает. Афтор не парься, и иди назад в ИТ, грамотные сетевики всегда в цене. Наводи порядок в голове, и возвращайся

Ну и чего ТС закис? Накосячить на многозначную сумму можно даже пиная хуи, был бы сильно желающий эту сумму на тебя повесить. В твоем случае - не нашелся, так что живи спокойно, просто выводы сделай, чтобы боле никто с этой стороны прикопаться не мог.

Монголия рядом, бывает, что встревают так же с корпоративными телефонами: думаешь, что разговариваешь по Билайну, а оказывается-монгольский оператор.
Со свистками у нас другая песня: господа дежурные умудрились за месяц на 30 с хвостиком тыс порнушки насмотреть. Разделили на всех.

А что за версия IOS была и на какой маршрутизатор, чтобы не залететь вдруг?

Когда делали астериск, буквально на следующий день был многомегабайтный лог, китайцы брутили пароли на SIP транк. Решением был access-list на конкретный IP sip провайдера. Проблема ушла и китайцы отстали...

не помню уже, но брал с раздачи nnm-клаба (та версия, где есть CCME)

То есть уязвимость была именно "телефонная"? У меня нет UC-лицензии, так что мне это пока не грозит.

Нарушено ПЕРВОЕ правило сисадмина- ничего не обновляй в ПЯТНИЦУ ВЕЧЕРОМ !!!!

именно телефонная.

Но не так давно, читал на хабре про количество бекдоров АНБ в операторском оборудовании. ИМХО один такой бекдор мне и попался, только паленый - слитый в интернеты и преданный общественности.

Добавлено в 17:44

Это сообщение отредактировал aerounit - 23.09.2014 - 17:43

Вопрос ТС.
Какой штат ИТ отдела?
Админы,связисты,СПД-шники?
На мой взгляд Вашей проблемой должен был заниматься спец. по комп.безопасности.
Но не как не начальник.
Всех нюансов траблов во всех направлениях легко можно не знать.
Если контора федеральная то лучше бы этим занимался спецы из столиц.
Тогда и головняка если,что гараздо меньше.

ты еще не знаешь почем ТЭЦ тепло вырабатывает и продает.
Это я тебе как теплотехник говорю

По штатке должно было быть 1 Нач-сисадмин, 1 программист геологов, 1 админбазданных. По факту программист и админ привлекались удаленно из дубаев, а коммуникации, 1с, гарант, СБИС и саппорт был на мне. Парк машин - 55 рабочих мест + тройка серверов. Негласно я подчинялся сисадмину из управляющей компании, но за 2 года мы с ним общались минут 40 максимум и в мои дела он не лез вообще, за исключением планирования строительства ВОЛС между объектами предприятия - требовали сделать максимально дорого и красиво (месторождение готовили к продаже).

Это сообщение отредактировал aerounit - 23.09.2014 - 17:57

У нас тоже на бывшей работе подключились к телефонной линии (жучок) и наговорили межгород и международные звонки. За этот месяц заплатили а потом написали заявление о снятии услуги междугородних и международных звонков.

Сочувствую тебе.
Так, как знаю как имеют в серьезных конторах и выгоняют.
У нас не пришел сразу к клиенту
Если есть причина-громадный пистон.
Если есть-выговор.
Если шишка-увольнение.
Пример.
ИТ заметил клиенту что он требует от персонала как диктатор.
Результат-увольнение.

Так что мы дуем уже на молоко...
И поэтому сложные задачи пытаемся свалить на Москву.

Кстати не дубайцы твою безопасность слили?
Тебе бы, в той конторе еще пару спецов из россии.

Мне бы твои, проблемы, вот на днях накосяпорил на, 500к...

Зря ты так, автор. Возвращайся в админы, за одного битого двух небитых дают.
Когда-то у нашего главпрограммера подпись была: "И не такие проекты заваливали". Всегда ее вспоминаю в подобных случаях ;)

Это сообщение отредактировал maxel - 23.09.2014 - 18:22

Автор, несказанно повезло что начальники твои адекватные.
Походу ты сломался, перегорел немного от такого случая.
И не надо его называть недоучкой, ибо пусть тот первым камень бросит кто никогда никогда не косячил нигде.
Косячили все. Только с разным результатом.
Ничо, ща не в ИТ поработаешь, и успокоишься немного. Может и вернешься.
Удачи ойтишный брат!
Все нормуль будет.

все правильно, если админа нет на рабочем месте, значит все работает правильно