* per sip gehackt und paypal damit bezahlt

[elbe01]

Wer kann mir sagen, wie das geschehen konnte und wie ich das abstellen kann? Ich finde auf meiner Telefonrechnung
Anrufe an die 09003101042 (googlen erbrachte, dass das eine paypal-Nummer ist), die nicht von mir initiert worden.
Eine Logfileasuwertung auf * erbrachte, dass sich jemand per sip auf meinem * eingewählt hat und darüber ins Festnetz telefoniert hat.
Ich habe das jetzt erstmal abgestellt, aber wie hat der sich authentifiziert?
Die sip.conf hat die Standardeinstellungen.

Ein Teil des Logs unter "sip debug" ergab (Angaben der IPs etc. geändert)::

Sip read:
INVITE sip:[email protected] SIP/2.0
Via: SIP/2.0/UDP 82.234.127.188:36221;branch=z9hG4bKF1E6334276578
From: "jean smith" <sip:[email protected]:36221>;tag=334276578
To: <sip:[email protected]>
Call-ID: [email protected]
Contact: <sip:[email protected]:36221>
CSeq: 35 INVITE
Max-Forwards: 70
Content-Type: application/sdp
User-Agent:  release 1105c
Content-Length: 154

v=0
o=root 848892473 12345678 IN IP4 82.234.127.188
s=session
c=IN IP4 82.234.127.188
t=0 0
m=audio 51112 RTP/AVP 8
a=rtpmap:8 PCMA/8000
a=sendrecv

11 headers, 8 lines
ta*CLI> Jun  8 18:20:33 WARNING[19121]: acl.c:216 ast_lookup_iface: Unable to get IP of *: No such device
Using latest request as basis request
Sending to 82.234.127.188 : 36221 (non-NAT)
Found RTP audio format 8
Peer audio RTP is at port 82.234.127.188:51112
Found description format PCMA
Capabilities: us - 0x8014e(GSM|ULAW|ALAW|SLINR|G729A|H263), peer - audio=0x8(ALAW)/video=0x0(EMPTY), combined - 0x8(ALAW)
Non-codec capabilities: us - 0x1(G723), peer - 0x0(EMPTY), combined - 0x0(EMPTY)
Reliably Transmitting (no NAT):
SIP/2.0 407 Proxy Authentication Required
Via: SIP/2.0/UDP 82.234.127.188:36221;branch=z9hG4bKF1E6334276578
From: "jean smith" <sip:[email protected]:36221>;tag=334276578
To: <sip:[email protected]>;tag=as2b00f414
Call-ID: [email protected]
CSeq: 35 INVITE
User-Agent: Asterisk PBX
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER
Contact: <sip:[email protected]>
Proxy-Authenticate: Digest realm="asterisk", nonce="2d1c0f94"
Content-Length: 0

Weitere Angaben auf Anfrage
Gruß
elbe01

 

[Thomas007]

Ich habe das jetzt erstmal abgestellt, aber wie hat der sich authentifiziert?

Wahrscheinlich gar nicht.

Was steht in der sip.conf unter globals als
context = ??
Was steht in diesem Context?

 

[elbe01]

Naja, da steht schon " context=default" mit dem Ausgang ins Festnetz.


Und dann werden die Einträge genommen, wenn kein passender Account
vorhanden ist? Das habe ich den Anleitungen nie so verstanden.

 

[Jonny]

Naja, da steht schon " context=default" mit dem Ausgang ins Festnetz.


Und dann werden die Einträge genommen, wenn kein passender Account
vorhanden ist? Das habe ich den Anleitungen nie so verstanden.

Nicht ganz. Die richtige Erklärung ist, dass der context in der sip.conf für alle eingehenden SIP Verbindungen verwendet wird. Es sei denn ein spezifischer Account/Server/Benutzer bekommt einen anderen Context definiert.

Alle SIP Gespräche an [email protected] landen in dem Default Context auf der Extension xyz.

 

[Thomas007]

Ja, da kommen alle "anonymen" Anrufe an. Wenn die EXTEN auf die dort vorhandene Pattern passt werden die Dialplanbefehle ausgeführt.

Man macht am besten 3 verschiedene Contexte

a.) für die Clients die sich bei Dir registrieren
b.) für die Registrierungen bei Providern
c.) für anonyme SIP-Anrufe

*b.) setzt eine saubere Definition des register Befehls und des Contextes voraus.

 

[Timmbo]

Hi elbe,


schau mal hier, da wurde die Problematik mit default schon erklärt:

http://www.ip-phone-forum.de/showthread.php?t=134178


Grüße


Timm

 

[Thomas007]

Jetzt habe ich den Typen auch auf einen meiner Server geloggt.

Hast Du eigentlich eine Meldung an abuse gemacht?


Jun 17 22:58:16 NOTICE[25447]: chan_sip.c:11228 handle_request_register: Registration from '"jean smith" <sip:[email protected]>' failed for '82.234.27.188' - Username/auth name mismatch
Jun 17 23:12:23 NOTICE[25447]: chan_sip.c:11228 handle_request_register: Registration from '"jean smith" <sip:[email protected]>' failed for '82.234.27.188' - Username/auth name mismatch
Jun 17 23:19:00 NOTICE[25447]: chan_sip.c:11228 handle_request_register: Registration from '"jean smith" <sip:[email protected]>' failed for '82.234.27.188' - Username/auth name mismatch

 

[Freeman81]

0900

Mich hat dieser Hack auch getroffen. Soweit ich nun in Erfahrung bringen konnte handelt es sich dabei um einen Paydienst aus Frankreich mit den Namen: Allopass.com

Die vergeben in den Gesprächen Codes mit denen dann das Guthaben zu einer jeweiligen Webseite zugeordnet wird. Ich habe Allopass angeschrieben und darüber informiert.

Des weiteren werde ich eine Anzeige bei der Polizei machen sowie beim Bundesamt für Sicherheit in der Informationstechnik.

Hat Jemand von euch ergänzende Infos dazu?

 

[rollo]

OT Thread abgetrennt und verschoben.

Da das über 1 Jahr alt ist, mache ich hier mal zu.

jo