Anrufliste - was sind das für ominöse Calls?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
mipo

mipo

Aktives Mitglied
Mitglied seit
29 Okt 2004
Beiträge
1,306
Punkte für Reaktionen
119
Punkte
63
Hallo zusammen,

bei der FritzBox habe ich ein, für mich, rätselhaftes Verhalten.

Die FritzBox hängt an einem SIP-Trunk eines Providers. Die Telefonanlage ist per S0 angebunden.

Woher kommen die Anrufe? Sie wiederholen sich (meist) alle 5-6 Minuten Was bedeutet "sipvicious"? Und wie kann ich herausfinden, was hier passiert?

Gruß
Michael
 

Anhänge

  • michael_fb.jpg
    michael_fb.jpg
    22.8 KB · Aufrufe: 74
Hallo mac-christian,

soweit war ich eigentlich auch schon ... ABER wie kann ich die Quelle ermitteln und/oder die Anrufe eliminieren?
Sind das Hacking Versuche intern/extern??

Gruß
Michael
 
Also ich denke, die kommen "vom Internet her". Es wird ja im Protokoll als ankommender (nicht entgegengenommener) Anruf(versuch) angezeigt. Wenn du weiter googelst, wird unter anderem empfohlen, den Provider zu kontaktieren (hier zum Beispiel). Wobei ich denke, da müsstest du dem schon noch ein paar Infos mehr liefern - z.B. woher/von welcher IP-Adresse die Anfrage kommt. Sieht man die im Log der Fritz!Box?
 
Moinsen


Ja, an dieser Stelle...
Telefonie > Eigene Rufnummern > Sprachübertragung
( Wenn eine Verbindung zustande gekommen ist )
...mit: Ansicht: Erweitert

Support Daten
Zeitnah zu den Anrufen erstellen und in dieser Textdatei im "SIP Log" und "SIP INVITE Log" (suchen) nach den Daten fahnden.
Da tauchen zum Beispiel auch OPTIONS auf, die nie in der Anrufsliste oder Ereignislog/Sprachübertragung erscheinen.
Die echte IP steht unter: Via: und Contact:
 
Ich bin eigentlich etwas verwundert, da ich eigentlich annahm, dass die FritzBox eigentlich vom Internet eingehende SIP Anfragen sperrt. Auf welchem Port "hört" sie denn eigentlich. Port 5060 dürfte doch von außen gar nicht erreichbar sein. Sie fungiert ja eigentlich nur als Client. Sprich sie kommuniziert mit einem VoIP Provider (hat einen SIP Trunk). Es gibt keine ersichtlichen Freigaben (also Portforwardings),

Hast Du hilfreiche Tips um das in den Griff zu bekommen?

Gruß
Michael
 
Das ist VoIP.
Jede in der FRITZ!Box eingerichtete Rufnummer kann von Internetseite auf TCP/UDP SIP Port 5060 angerufen werden.
...ohne einen Anbieter, nennt sich "Guest Call" mittels einer "SIP URI".
Es gibt zwar für die sogenannten UAs (Internetrufnummernaccounts) eine zwei Optionen die sich irgendwie darauf beziehen...
Code: 
only_call_from_registrar = yes;
invite_without_register_allowed = no;
( Aus voip.cfg{uax{...}} einer Wiederherstellungsdatei aus einer 7590 )
...eingehende "Guest Calls" nicht zu Erlauben, aber ob die bei dir aktiviert sind und funktionieren, wage ich mal zu Bezweifeln.
 
Zuletzt bearbeitet:
Dazu kann man auch einfach den Punkt Sicherheit aufrufen in der FB, da sieht man alle externen Ports, und mit 7.20 sogar intern fürs Heimnetz.

Neben 5060 für SIP kommt auch noch RTP Ports. Wenn man es nicht möchte, löscht man alle Rufnummern in der FB raus, dann sind die Ports dicht.
 
Ähm ... Das habe ich echt so nicht betrachtet und gewusst.

Mal zum Verständnis:
Ich habe unter Rufnummern die SIP Rufnummer 1234567 definiert. Diese registriert sich beim Provider. Eingehende Anrufe werden über "Telefoniegerät" ISDN-Telefonanlage FON S0 zur Anlage weitergereicht. In der Anlage ist wiederum die ISDN MSN 1234567 eingerichtet und einem Telefon oder Gruppe zugeordnet.

Was bedeutet das jetzt? Kann ich mich von außen wirklich unter [email protected] über Port 5060 zu authentifizieren? Mit welchem Passwort geht das dann? Warum ist denn der Port (eingehend) geöffnet?
Macht ein LANCOM Router genau das Gleiche?

Ich ging felstenfest davon aus, dass natürlich die Kommunikation FritzBox <-> Provider funktioniert. Und dies über die Stateful-Inspektion-Firewall (die ja die Ports solange für die Rückantwort vom Provider offenhält).
Wenn Port 5060 wirklich offen ist, das lädt doch zu Hackingversuchen ein ...

Ergänzung:
nmap -sU öffentliche IP-Adresse

PORT STATE SERVICE
9/udp open|filtered discard
5060/udp open|filtered sip

Was heißt "filtered"?

Macht mich bitte bisschen schlauer ...
 
authentifizieren? Nicht notwendig, jeder kann also jeden ohne Anbieter anrufen wenn Rufmumer und IP bekannt ist.

Der SIP Port ist offen damit erreichbar bist und Anbieter den Anruf signalisieren kann.
 
Das heißt, ich habe einen VoIP Anschluss und meine SIP Rufnummer in der FritzBox (für Telekom) aktiv. Da kann jeder, der meine Rufnummer kennt und die öffentliche IP mich anrufen und ggf. terrorisieren?
Dein zweiter Satz: Der SIP Port ... meinst Du damit Provider z.B. Telekom oder irgendeinen x-beliebigen?

Wie kann man die FritzBox dicht bekommen, dass nur die Kommunikation zum Provider (z.B. Telekom) funktioniert? Wahrscheinlich gar nicht ...
Geht von derartigen Registrierungsversuchen, die ich oben beschrieb eine Gefahr aus?

Macht LANCOM auch so einen Blödsinn?
 
Wie geschrieben lösche alle Rufnummern in der FB, sonst kann jeder theoretisch Anrufe an dich machen, was aber wohl unwahrscheinlich ist.

Anbieter spielt keine Rolle für eingehende Anrufe beim Port.
 
Danke für die erhellende Info. Das ist die FritzBox wirklich mal wieder ein schönes Spielzeug, aber mehr nicht.

Die oben dargestellte FritzBox hatte alle paar Minuten einen Eintrag in der Anrufliste. Klar die 2024 ist nicht eingetragen, aber alleine die anwachsende Liste ist schon blöd.

Vielleicht hat der Eine oder Andere noch einen Tip für mich, wie ich die Box dicht bekomme.
 
@mipo - Wenn du den nmap Scan mit -sUT -p 5060 machst, dann siehste Beide...
Code: 
PORT     STATE         SERVICE
5060/tcp open          sip
5060/udp open|filtered sip

Die Rufbehandlung/Sperre gilt auch für eingehende Guest Calls.
Kannst es damit mal versuchen?
 
@koyaanisqatsi

Code: 
PORT     STATE         SERVICE
5060/tcp open          sip
5060/udp open|filtered sip

Wie bekomme ich das dann dicht?
 
Rufnummern löschen ;)

Rufnummern direkt im IP Telefon, im gemanagten Switch kannst dann entsprechend Regeln anlegen dass nur IPs vom Anbieter zur 5060 kommunizieren darf.
 
Wahrscheinlich schon, seiden magst Modifikation wie Freetz und so, kenne mich damit aber zu wenig aus.

Hast wie Koy in #5 geschrieben hat geschaut ob es wirklich externer fremder Anruf ist und nicht evt. falsch geleiteter interner Anruf wo Vorwahl und so fehlt?
 
Zuletzt bearbeitet von einem Moderator:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 727 (Mitglieder: 53, Gäste: 674)

Neueste Beiträge

Statistik des Forums

Themen
244,834
Beiträge
2,219,165
Mitglieder
371,532
Neuestes Mitglied
Suppenkraut
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück