Rätselhafte Verbindungsversuche in Gesprächdatenliste

pingpong · 27. Oktober 2014 um 19:13

Hallo zusammen,

ich schaue regelmäßig in die Gesprächsdatenliste um irgendwelche Auffälligkeiten zu
entdecken oder um sich einfach zu freuen “es funktioniert so, wie man es sich vor-
gestellt hat”.

Heute sind mir einige Einträge ins Auge gefallen, die mich nachdenklich stimmen.

Die Nebenstelle 401 ist nicht existent
In der Sperrliste ist es recht ruhig
Eigentlich ein “Kommend” Gespräch, doch mit diesen ewig langen Nummern?
Oder versucht man so eine Art “Call-Through” über die Anlage zu bewerkstelligen?
Kostenpflichtig vermutlich nicht, aber …
Bin natürlich auf die Suche nach weiteren Logs gegangen, doch ein Erfolg war es
eigentlich nicht. Sprich, nichts aussagekräfitiges gefunden.

Nach außen kontrolliert eine Firewall den Internet Traffic, die eigentlich nur drei IP
Adressen durchlassen sollte.

Gruß
Michael

Ganzfix · 27. Oktober 2014 um 20:01

Das sind doch kommende Anrufe. Da diese vermutlich über den Anlagenanschluss reinkommen, hat das nicht mit Netzwerk zu tun. Also weder Sperrliste noch Firewall.
Die 401 ist doch die Externe Rufnummer sofern die Spalte wie bei meiner Anlage angeordnet sind. Die ist vermutlich gefälscht. Die langen Nummern z.B. 011448450048745 sind doch die Nebenstellennummern, die natürlich nicht vorhanden sind.
Ich würde am ehesten vermuten, dass hier versucht wird eine Telefonanlage von außen umzuprogrammieren und hierfür Zahlenfolgen übermittelt werden die bei einer bestimmten Telefonanlage z.B. CallTrough oder ähnliches aktivieren.

Was hast Du denn in der Rufverteilung bei Rückfall eingestellt? Abweisen?

Gruß, Nils

pingpong · 27. Oktober 2014 um 20:10

Hallo Nils,

stimmt, es sind kommende Gespräche, daher wohl nicht so schlimm.

In der Rufverteilung habe ich als Rückfall “Abweisen” drin. War nur unsicher, als gebranntes Kind (hatte mal mit einer Asterisk Testinstallation Ärger, der sich aber
kostenmäßig im Rahmen hielt), ob da wieder irgendwelche Hacker an der Anlage sind. Vor allem, weil ich der Meinung bin, eigentlich alles was Sicherheit betrifft,
getan zu haben …

vG Michael

Herrybert · 16. November 2014 um 19:21

Nabend.

Ist der Port 5060 im Router auf die TK,-,Anlage umgeleitet? Das würde ich prüfen /deaktivieren.

Marco · 20. November 2014 um 20:44

Oder einfach extern einen anderen Port dafür nehmen und Ruhe ist. Keiner vermutet einen SIP-Port auf 14567

pingpong · 20. November 2014 um 21:24

Hallo zusammen,

ich habe einmal einen Auszug aus der Gesprächsdatenliste angehängt.
Vielleicht fällt euch hierzu etwas ein.

Wie gesagt, wenn die Firewall vielleicht nicht doch irgendwo einen Konfigurationsfehler
hat, sollte 5060 nur von 4 IP Adressen von außerhalb erreichbar sein. Alles andere ist
geblockt.

Mich wundern die ewig langen Nummern und was es wohl damit auf sich hat …

Unter Andrem noch: 810972599532827

Die Nebenstelle 1000 ist natürlich auch nicht erreichbar. Mich ärgert ein wenig, dass
ich bei der COMmander keine Logdatei finde, die diese Ereignisse aufzeichnet.

Also Port 5060 könnte man natürlich umsetzen. Klar.

vG Michael

Herrybert · 20. November 2014 um 21:27

Nabend.

Jetzt handeln und Port 5060 schließen, falls noch offen. Das sind Versuche von externen SIP-Software-Attacken !!!