我遇到个很奇葩的网络安全问题

没用过 FXO ，不过都是基于 PBX 的，你的网页管理设了强密码，但是 SIP 分机客户端设了强密码吗？冒用你的落地线路不需要破解管理页面，破解分机就可以了

@ShinichiYao #21 没开 sip 分机功能，我只需要自动转接

管理页面 80 端口应该是没有 https ，看是不是可能被 http 劫持

0day 或者有后门

别鸡儿问了 没独立开发能力就不要碰语音技术

这特么是第一黑产行业啊，开什么玩笑

改了端口开放在公网依旧可以被测绘发现到，优先的解决方案就是避免暴露公网或者是设置白名单访问。
FXO 的语音网关是有漏洞的

100%网关本身 0day 进来的

只是你自己用的话直接 wireguard 吧，除了 wg 不暴露其他端口

没盗打国际长途算是良心了。

这种 IP 网关安全性很差。

这种物联网设备肯定不能直接暴露在公网的，一堆黑产盯着呢，漏洞+资产测绘，嘎嘎乱杀

请记住：改端口作用约等于 0
从 0-65535 扫一遍不需要多少时间的，你可以自己下个 nmap 试一下，愿意多花点时间还可以通过连接接口的一些指纹信息直接判断出来是什么服务。你这大概率是设备有什么漏洞直接进来的，搜一下设备型号版本啥的看有没有线索吧

显然是网关固件有 0day ，改端口没用，要么网络防火墙白名单，要么关掉外网访问

@bg7lgb #29
卖国际长途那几个钱 跟诈骗落地的费率比 一个天上一个地下
干黑产的又不傻

@masterclock 在漏洞上加了点功能
-> 笑死，精辟概括

好奇一下，楼主被警察找了之后，啥后果？要不要（部分）赔偿对面的诈骗损失？

@LaoChen #34 不用的，又不是我打的

1. 改端口是个不错的习惯，但是对于攻击者来说，几乎没有用处，nmap massscan 等太多扫端口的工具，几分钟就可以扫描+识别 65535 全端口，或者你的这个资产早已经被资产搜索引擎收录，攻击者都不用扫端口
2. 密码强度不算太差，你也有 BanIP 的策略，理论上加代理池爆破问题不大，但我觉得这次事件不是密码进来的
3. 赶紧查一下你的硬件版本固件版本吧，大概率用漏洞进来的

大致猜测一下攻击路径
1. 已知此型号此固件版本存在 RCE 或者权限绕过漏洞
2. fofa shodan 或者其他引擎批量收集此产品此型号的的全球资产，比如导出 5 万条，其中包括你的
3. 验证这 5 万条资产的存活
4. 存活的资产直接用 0day 或者 Nday 打进后台

建议
1. 首先查一下你的硬件版本固件版本，该升级的尽快升级
2. 密码 18 位以上大小写+数字+符号，单词数字等全随机，不要有个人习惯，比如常用用户名，常用的生日数字等，攻击者很容易做出一份针对个人的社工字典，爆破精度大大提高

@peili #36 谢谢

尽量通过 vpn 之类的，然后内网访问吧。。

楼主是上海联通还是移动 h248 吗？

@kkjjjllkk #39 h248 是啥