我遇到个很奇葩的网络安全问题

我有一台 FXO 的讯时语音网关，平时打家里的固定电话会通过另外个固定电话转到我手机上，有时候要看通话记录，所以对公网暴露端口，让我在外网能访问。我怕被黑了然后做了以下措施：
80 访问端口改成 48880
5060 语言信令端口改为 59960
rdp 端口从 10000-10100 改到 50000-50010
网页登陆密码从 admin 改为 12 位带数字带大小写带符号的密码

今天被警察通知，我家的电话在打诈骗电话，我一登录语音网关发现被黑了。

我实在搞不懂是怎么被黑的，有大佬可以给我解惑吗？

XieBoCai

31 天前

网关本身有后门？

pursuer

31 天前

只是改端口很容易被扫到的，要看密码爆破有没有日志记录，频率限制和 BAN IP 。web 看端口大概率还是没有 ssl 的，可能连个 wifi 都会被中间人一下，使用的服务出了漏洞被利用也是可能的

PROJECT

31 天前

@pursuer 有失败超过 5 次，ban99 分钟的设置

NoDataNoBB

31 天前

改端口有一点用，但不是很有用。网上有很多扫描工具在不停地扫，只要暴露到公网，就会被扫描到。

考虑使用端口敲门。

Karte

31 天前

后门吧. 通过回复的数据包判断出是不是某一个公司的产品. 然后针对该产品查询漏洞, 然后攻击.

Karte

31 天前

不要直接暴露, 想访问先用 VPN 建立安全连接.

virusdefender

31 天前

可能有啥漏洞，不一定是密码相关的事情导致的

masterclock

31 天前

从我多年偶尔碰一下的经验看，所有 IPPBX 都是在漏洞上加了点功能

polaa

31 天前

1. 购买 FXO 语音网关
2. 黑盒漏洞挖掘/提取固件灰盒漏洞挖掘
3. 提取设备指纹，在互联网上进行资产扫描/搜索
4. 漏洞利用

somebody1

31 天前

有很多方式都可以实现上述的效果，但是你没有提供日志，所以无法确定黑客的 ttp 。

”有失败超过 5 次，ban99 分钟的设置“ 这个没啥用，一般都有代理池的，爆破问题不大，主要是你的密码复杂度要够高。

首先是扫描阶段，改端口只能增加黑客扫到的困难度，但是没啥保障性，一样能被扫到

然后入侵，有可能是密码爆破，但是我觉得大概率是有 0day 或者 nday ，这种语音设备的网络安全支持应该一般。

既然被黑了，就关了吧，家里没什么长期设备的话，黑客一般也懒得横向移动。大概率是广扫+批量的漏洞利用。

lloovve

31 天前

一般这种设备都有一颗个超级密码

WoneFrank

31 天前

其他端口确定安全就在 web 端口前面套个带认证的 nginx 。
如果不确定那就通过白名单、socks5 、vpn 这种方式访问。

PROJECT

31 天前

@somebody1 #10 12 位带数字带大小写带符号的密码，这个密码能被爆破，我都觉得不可思议

PROJECT

31 天前

@lloovve #11 这个我已经关闭了，只有网页登陆的密码，是 12 位带数字带大小写带符号的密码

PROJECT

31 天前

@somebody1 #10 应该是利用漏洞了

gvdlmjwje

31 天前

漏扫工具一扫就知道有啥漏洞了然后通过漏洞攻击

你部署一个 WAF 比如长亭雷池这种，基本上能阻止 99%的自动工具/脚本小子

nmap

31 天前

多半是 0day 漏洞

guanzhangzhang

31 天前

你这种对外暴漏很危险，改默认端口只是减少，用 vpn 组网比 frp 映射和直接暴漏安全些。例如 3389 对外和 frp 映射到 ecs 的端口，你 3389 弱密码就是众生平等了。而如果是 vpn 组多个局域网，vpn 接入了才能访问 3389 端口

hafuhafu

31 天前

密码强度还可以，那估计是有漏洞。

CrossMythic

31 天前

VPN 或者过自建代理做个白名单比较好一点。安全厂商自己设备的漏洞都跟筛子一样，更别说其他的了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1092991

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.