最近,我们接待了一位心急如焚的客户。由于他使用的开源 PBX 系统遭受了严重的黑客攻击,他的 SIP 线路提供商在监测到异常后,已经强行关停了他的所有外呼业务 。

通过这次深度的技术排查,我们希望将整个过程分享出来,帮助大家警惕 VoIP 领域的安全陷阱。

第一现场:不仅是“盗打”那么简单

当我们接手该系统并登录后台时,眼前的景象印证了这是一次典型的 VoIP 黑客攻击 :

  • 消失的主叫号码:通话记录(CDR)里充斥着大量外呼记录,但诡异的是,这些通话完全没有主叫号码,且无法判断是来自内部分机还是外部中继 。
  • 瘫痪的管理界面:管理后台上方挂满了红色的错误警告,系统模块运行异常 。
  • 被夺取的控制权:当我们尝试修改呼出路由以阻止攻击时,系统直接报错,导致我们根本无法在网页端进行任何抢救性设置 。
  • 潜伏的“新用户”:在用户管理界面,我们发现了大量黑客非法创建的未知用户账号,这说明系统的权限已经彻底失守 。

黑客的“战术”:比你想象的更聪明

通过 SSH 深入服务器后台,我们终于在 extensions_custom 配置文件中抓到了黑客留下的狐狸尾巴——一段被精心注入的恶意脚本 。

  • 建立非法路由:黑客注入了一个非常“聪明”的脚本,它可以自动调取系统内所有的通信线路。如果第一条线打不通,它会自动切换到下一条,直到电话打出去为止 。这意味着你设置的所有常规路由规则,在它面前都形同虚设 。
  • 潜伏在深夜:黑客非常了解管理员的作息,他们专门选择在下班后到第二天上班前的时间段进行大规模拨号 。如果不是线路供应商提醒,这些通话记录在第二天很快就会被正常流量覆盖,用户极难察觉 。
  • 漏洞降维打击:黑客利用了开源 PBX 已知的安全漏洞,实现了远程命令执行 。他们甚至不需要知道你的账号密码,就能绕过认证、提升权限,并往系统里塞进定时任务和木马 。

亡羊补牢?不,你需要彻底推倒重来

很多用户在被黑后,第一反应是“把漏洞补上,把脚本删了不就行了?”

答案是:不行。

对于这类已经被深度入侵的开源系统,即便你修复了表面上的模块,你依然无法保证系统中是否还隐藏着你看不见的木马或定时清理任务 。我们最核心的建议是:彻底弃用被攻击的服务器,重新构建系统 。

我们的安全避坑指南

为了避免类似悲剧再次发生,请务必检查以下三点:

  • 严禁公网裸奔:绝大多数攻击源于用户将 PBX 的管理界面直接暴露在公网 。这是黑客利用已知漏洞进行攻击的“大门” 。
  • 强化防火墙策略:必须重新设置防火墙,做好严格的 IP 过滤和访问控制 。
  • 警惕维护成本:开源 PBX 的“免费”往往是以高昂的维护成本和安全风险为代价的。如果你没有专业的团队进行每日的漏洞监测和补丁更新,下一次攻击可能就在今晚 。

通信安全没有小事。如果你的系统正面临类似的风险,或者你已经厌倦了开源系统无休止的安全补丁,现在也许是时候转向更安全、专业的解决方案了。

参与互动

关注我们的互动频道,我们通过视频、图片、文档,包括召开技术及市场交流会议的形式,方便你了解及掌握 3CX 最新的资讯与技术信息,同时非常欢迎您在我们的媒体平台进行留言。