Anrufliste - was sind das für ominöse Calls?

mipo

Aktives Mitglied
Mitglied seit
29 Okt 2004
Beiträge
978
Punkte für Reaktionen
36
Punkte
28
Hallo zusammen,

bei der FritzBox habe ich ein, für mich, rätselhaftes Verhalten.

Die FritzBox hängt an einem SIP-Trunk eines Providers. Die Telefonanlage ist per S0 angebunden.

Woher kommen die Anrufe? Sie wiederholen sich (meist) alle 5-6 Minuten Was bedeutet "sipvicious"? Und wie kann ich herausfinden, was hier passiert?

Gruß
Michael
 

Anhänge

mipo

Aktives Mitglied
Mitglied seit
29 Okt 2004
Beiträge
978
Punkte für Reaktionen
36
Punkte
28
Hallo mac-christian,

soweit war ich eigentlich auch schon ... ABER wie kann ich die Quelle ermitteln und/oder die Anrufe eliminieren?
Sind das Hacking Versuche intern/extern??

Gruß
Michael
 

mac-christian

Neuer User
Mitglied seit
16 Mrz 2020
Beiträge
52
Punkte für Reaktionen
1
Punkte
8
Also ich denke, die kommen "vom Internet her". Es wird ja im Protokoll als ankommender (nicht entgegengenommener) Anruf(versuch) angezeigt. Wenn du weiter googelst, wird unter anderem empfohlen, den Provider zu kontaktieren (hier zum Beispiel). Wobei ich denke, da müsstest du dem schon noch ein paar Infos mehr liefern - z.B. woher/von welcher IP-Adresse die Anfrage kommt. Sieht man die im Log der Fritz!Box?
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
12,510
Punkte für Reaktionen
323
Punkte
83
Moinsen


Ja, an dieser Stelle...
Telefonie > Eigene Rufnummern > Sprachübertragung
( Wenn eine Verbindung zustande gekommen ist )
...mit: Ansicht: Erweitert

Support Daten
Zeitnah zu den Anrufen erstellen und in dieser Textdatei im "SIP Log" und "SIP INVITE Log" (suchen) nach den Daten fahnden.
Da tauchen zum Beispiel auch OPTIONS auf, die nie in der Anrufsliste oder Ereignislog/Sprachübertragung erscheinen.
Die echte IP steht unter: Via: und Contact:
 

mipo

Aktives Mitglied
Mitglied seit
29 Okt 2004
Beiträge
978
Punkte für Reaktionen
36
Punkte
28
Ich bin eigentlich etwas verwundert, da ich eigentlich annahm, dass die FritzBox eigentlich vom Internet eingehende SIP Anfragen sperrt. Auf welchem Port "hört" sie denn eigentlich. Port 5060 dürfte doch von außen gar nicht erreichbar sein. Sie fungiert ja eigentlich nur als Client. Sprich sie kommuniziert mit einem VoIP Provider (hat einen SIP Trunk). Es gibt keine ersichtlichen Freigaben (also Portforwardings),

Hast Du hilfreiche Tips um das in den Griff zu bekommen?

Gruß
Michael
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
12,510
Punkte für Reaktionen
323
Punkte
83
Das ist VoIP.
Jede in der FRITZ!Box eingerichtete Rufnummer kann von Internetseite auf TCP/UDP SIP Port 5060 angerufen werden.
...ohne einen Anbieter, nennt sich "Guest Call" mittels einer "SIP URI".
Es gibt zwar für die sogenannten UAs (Internetrufnummernaccounts) eine zwei Optionen die sich irgendwie darauf beziehen...
Code:
only_call_from_registrar = yes;
invite_without_register_allowed = no;
( Aus voip.cfg{uax{...}} einer Wiederherstellungsdatei aus einer 7590 )
...eingehende "Guest Calls" nicht zu Erlauben, aber ob die bei dir aktiviert sind und funktionieren, wage ich mal zu Bezweifeln.
 
Zuletzt bearbeitet:

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,865
Punkte für Reaktionen
302
Punkte
83
Dazu kann man auch einfach den Punkt Sicherheit aufrufen in der FB, da sieht man alle externen Ports, und mit 7.20 sogar intern fürs Heimnetz.

Neben 5060 für SIP kommt auch noch RTP Ports. Wenn man es nicht möchte, löscht man alle Rufnummern in der FB raus, dann sind die Ports dicht.
 

mipo

Aktives Mitglied
Mitglied seit
29 Okt 2004
Beiträge
978
Punkte für Reaktionen
36
Punkte
28
Ähm ... Das habe ich echt so nicht betrachtet und gewusst.

Mal zum Verständnis:
Ich habe unter Rufnummern die SIP Rufnummer 1234567 definiert. Diese registriert sich beim Provider. Eingehende Anrufe werden über "Telefoniegerät" ISDN-Telefonanlage FON S0 zur Anlage weitergereicht. In der Anlage ist wiederum die ISDN MSN 1234567 eingerichtet und einem Telefon oder Gruppe zugeordnet.

Was bedeutet das jetzt? Kann ich mich von außen wirklich unter [email protected] über Port 5060 zu authentifizieren? Mit welchem Passwort geht das dann? Warum ist denn der Port (eingehend) geöffnet?
Macht ein LANCOM Router genau das Gleiche?

Ich ging felstenfest davon aus, dass natürlich die Kommunikation FritzBox <-> Provider funktioniert. Und dies über die Stateful-Inspektion-Firewall (die ja die Ports solange für die Rückantwort vom Provider offenhält).
Wenn Port 5060 wirklich offen ist, das lädt doch zu Hackingversuchen ein ...

Ergänzung:
nmap -sU öffentliche IP-Adresse

PORT STATE SERVICE
9/udp open|filtered discard
5060/udp open|filtered sip

Was heißt "filtered"?

Macht mich bitte bisschen schlauer ...
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,865
Punkte für Reaktionen
302
Punkte
83
authentifizieren? Nicht notwendig, jeder kann also jeden ohne Anbieter anrufen wenn Rufmumer und IP bekannt ist.

Der SIP Port ist offen damit erreichbar bist und Anbieter den Anruf signalisieren kann.
 

mipo

Aktives Mitglied
Mitglied seit
29 Okt 2004
Beiträge
978
Punkte für Reaktionen
36
Punkte
28
Das heißt, ich habe einen VoIP Anschluss und meine SIP Rufnummer in der FritzBox (für Telekom) aktiv. Da kann jeder, der meine Rufnummer kennt und die öffentliche IP mich anrufen und ggf. terrorisieren?
Dein zweiter Satz: Der SIP Port ... meinst Du damit Provider z.B. Telekom oder irgendeinen x-beliebigen?

Wie kann man die FritzBox dicht bekommen, dass nur die Kommunikation zum Provider (z.B. Telekom) funktioniert? Wahrscheinlich gar nicht ...
Geht von derartigen Registrierungsversuchen, die ich oben beschrieb eine Gefahr aus?

Macht LANCOM auch so einen Blödsinn?
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,865
Punkte für Reaktionen
302
Punkte
83
Wie geschrieben lösche alle Rufnummern in der FB, sonst kann jeder theoretisch Anrufe an dich machen, was aber wohl unwahrscheinlich ist.

Anbieter spielt keine Rolle für eingehende Anrufe beim Port.
 

mipo

Aktives Mitglied
Mitglied seit
29 Okt 2004
Beiträge
978
Punkte für Reaktionen
36
Punkte
28
Danke für die erhellende Info. Das ist die FritzBox wirklich mal wieder ein schönes Spielzeug, aber mehr nicht.

Die oben dargestellte FritzBox hatte alle paar Minuten einen Eintrag in der Anrufliste. Klar die 2024 ist nicht eingetragen, aber alleine die anwachsende Liste ist schon blöd.

Vielleicht hat der Eine oder Andere noch einen Tip für mich, wie ich die Box dicht bekomme.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
12,510
Punkte für Reaktionen
323
Punkte
83
@mipo - Wenn du den nmap Scan mit -sUT -p 5060 machst, dann siehste Beide...
Code:
PORT     STATE         SERVICE
5060/tcp open          sip
5060/udp open|filtered sip
Die Rufbehandlung/Sperre gilt auch für eingehende Guest Calls.
Kannst es damit mal versuchen?
 

mipo

Aktives Mitglied
Mitglied seit
29 Okt 2004
Beiträge
978
Punkte für Reaktionen
36
Punkte
28
@koyaanisqatsi

Code:
PORT     STATE         SERVICE
5060/tcp open          sip
5060/udp open|filtered sip
Wie bekomme ich das dann dicht?
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,865
Punkte für Reaktionen
302
Punkte
83
Rufnummern löschen ;)

Rufnummern direkt im IP Telefon, im gemanagten Switch kannst dann entsprechend Regeln anlegen dass nur IPs vom Anbieter zur 5060 kommunizieren darf.
 

mipo

Aktives Mitglied
Mitglied seit
29 Okt 2004
Beiträge
978
Punkte für Reaktionen
36
Punkte
28

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,865
Punkte für Reaktionen
302
Punkte
83
Wahrscheinlich schon, seiden magst Modifikation wie Freetz und so, kenne mich damit aber zu wenig aus.

Hast wie Koy in #5 geschrieben hat geschaut ob es wirklich externer fremder Anruf ist und nicht evt. falsch geleiteter interner Anruf wo Vorwahl und so fehlt?
 
Zuletzt bearbeitet:

Zurzeit aktive Besucher

Keine Mitglieder online.
3CX

Statistik des Forums

Themen
235,566
Beiträge
2,062,630
Mitglieder
356,310
Neuestes Mitglied
dstny1337