Dag beste helpmij.nl leden,
Iemand heeft gisteren ingebroken in onze PBX-centrale en heeft in twee uur circa 400 euro aan telefoonkosten verbruikt. Ik heb uit voorzorg de server op lock-down gezet en alle logboeken gedownload naar mijn computer (remote).
Ik heb via iptables alle inkomende & uitgaande verkeer op 'drop' gezet, tenzij de bron van deze paketten van 5 bevestigde ip-adressen zijn (mijn eigen (remote) ip & trunk providers).
Ik ben door de logboeken iets wijzer geworden en ben erachter gekomen dat er vanuit twee ip-adressen toegang is verkregen tot de systeem. Een ip-adres is gekoppeld aan een israelische ISP en de andere aan AT&T. Waar ik bang voor ben is dat deze IP-adressen voor proxy doeleinde zijn gebruikt en de 'dader' dus eigenlijk nog onbekent is.
Ik ben de logboeken nog aan het analyseren, maar zover mij duidelijk is heeft de dader (er vanuitgaand dat een persoon verantwoordelijk is) toegang via Apache (webserver) verschaft en vandaaruit de beveiliging van een extensie (telefoon) gewijzigd om zichzelf aan te melden.
De apache logbestanden laten een amerikaanse ip zien (at&t) en de logboek van de centrale een israelische.
De centrale houdt een verbose (debug) logbestand bij en hierdoor heb ik ook de ip adres gevonden, anders werd het ip adres niet gelogd. De dader heeft zijn/haar sporen proberen te wissen. Ik zeg proberen, omdat de webinterface alleen de kopie van de logboek verwijderd.
Mijn vraag is dus ook, wat moet ik nu doen en kan ik de schade verhalen bij de daders of verzekering?
Ik ben van plan aangifte voor computervredebreuk te doen en (kopies van) de logboeken te overhandigen aan de politie.
Ik kan de logboeken hier plaatsen, maar daarvoor moet ik wel alle ip-adressen die op z'n minst geathoriseerd zijn verwijderen of anders maskeren.
P.S.: Ik heb dit bericht in dit forum geplaatst omdat dit naar mijn mening onder netwerkveiligheid valt en ik geen (sub-)forum kon vinden voor specifiek deze gevallen.
Iemand heeft gisteren ingebroken in onze PBX-centrale en heeft in twee uur circa 400 euro aan telefoonkosten verbruikt. Ik heb uit voorzorg de server op lock-down gezet en alle logboeken gedownload naar mijn computer (remote).
Ik heb via iptables alle inkomende & uitgaande verkeer op 'drop' gezet, tenzij de bron van deze paketten van 5 bevestigde ip-adressen zijn (mijn eigen (remote) ip & trunk providers).
Ik ben door de logboeken iets wijzer geworden en ben erachter gekomen dat er vanuit twee ip-adressen toegang is verkregen tot de systeem. Een ip-adres is gekoppeld aan een israelische ISP en de andere aan AT&T. Waar ik bang voor ben is dat deze IP-adressen voor proxy doeleinde zijn gebruikt en de 'dader' dus eigenlijk nog onbekent is.
Ik ben de logboeken nog aan het analyseren, maar zover mij duidelijk is heeft de dader (er vanuitgaand dat een persoon verantwoordelijk is) toegang via Apache (webserver) verschaft en vandaaruit de beveiliging van een extensie (telefoon) gewijzigd om zichzelf aan te melden.
De apache logbestanden laten een amerikaanse ip zien (at&t) en de logboek van de centrale een israelische.
De centrale houdt een verbose (debug) logbestand bij en hierdoor heb ik ook de ip adres gevonden, anders werd het ip adres niet gelogd. De dader heeft zijn/haar sporen proberen te wissen. Ik zeg proberen, omdat de webinterface alleen de kopie van de logboek verwijderd.
Mijn vraag is dus ook, wat moet ik nu doen en kan ik de schade verhalen bij de daders of verzekering?
Ik ben van plan aangifte voor computervredebreuk te doen en (kopies van) de logboeken te overhandigen aan de politie.
Ik kan de logboeken hier plaatsen, maar daarvoor moet ik wel alle ip-adressen die op z'n minst geathoriseerd zijn verwijderen of anders maskeren.
P.S.: Ik heb dit bericht in dit forum geplaatst omdat dit naar mijn mening onder netwerkveiligheid valt en ik geen (sub-)forum kon vinden voor specifiek deze gevallen.
Laatst bewerkt:
