[walter_ps2]

Da qualche giorno ho notato una strana attività proveniente dal Server 3CX.

Avevo problemi di navigazione internet così ho chiamato il mio provider il quale mi informa che sulla mia linea cè saturazione di banda in Upload. Non avevo nulla in rete che potesse giustificare questa saturazione così ho spento tutti i PC e tutti i telefoni ip. A questo punto guardando i LED sullo switch mi sono accorto che il Server 3CX aveva un'attività frenetica, il LED lampeggiava in continuazione.

Così ho provato a scollegare il cavo di rete relativo al server e il problema di navigazione si è risolto.
Ricollegandolo il LED riprende a lampeggiare freneticamente ed alcune volte finisce che mi si blocca la navigazione.

Il fatto che il Server abbia questa attività può dipendere da un virus un malware o qualcosa del genere ?
Ho provato a fare diverse scansioni ma non è stato trovato nulla di rilevante e il problema persiste.
La cosa che mi preoccupa e che potrei essere sotto attacco e non vorrei mai che qualcuno riuscisse ad accedere al centralino per rubare traffico telefonico.

Cosa mi consigliereste di fare ?

[walter_ps2]

trovato questo IP

-------------------------------------------------------------------------------
Private IP ort #Pseudo Port Peer IP ort Interface
-------------------------------------------------------------------------------
192.168.0.2 5060 5060 184.154.255.210 5095 WAN1

192.168.0.2 è il server 3CX

184.154.255.210 dovrebbe essere l'IP sospetto

[damiano]

la porta 5095 non dovrebbe riguardare il Tunnel ...... ?

damiano

[walter_ps2]

Ehm.... non lo so
Ho bloccato l'IP con il firewall del router, l'attività si è normalizzata, che sia proprio un attacco ?

Ho trovato questo a riguardo di quell'IP: http://www.blocklist.de/en/view.html?ip=184.154.255.210

Ciò che non capisco è che nel Diagnostics >> NAT Sessions Table quell'IP non scompare

[eurylink.com]

Si tratta ovviamente di un attacco DOS sulla porta 5060 del tuo PBX. Accertati per prima cosa che tutti gli interni abbiano password complesse (incluso interni fax e password del tunnel). In seconda istanza aggiorna 3cx alla versione 10 che ha funzionalità anti hacking più evolute. Infine configura il firewall a dovere in modo che accetti solo connessioni dagli ip dei tuoi provider Voip. Bannare il singolo IP non serve a nulla perchè nel giro di poco l'IP di origine cambierà. Se non vuoi rischiare di ritrovarti con bollette anche molto salate assiurati di aver fatto tutto a dovere.

[walter_ps2]

In sostanza chiudo le porte nel NAT che avevo aperto, e faccio una serie di filtri che abilitano solo gli IP del provider Voip.
E' questo che intendi ?
Dovrei però mettere anche gli IP dello STUN e credo anche gli IP del provider ADSL, giusto ?

Non l'ho mai fatto e temo di fare guai, ma a vedere l'interfaccia del router non sembra così difficile.

[walter_ps2]

TCP/UDP 5060 / 5060
TCP/UDP 5090 / 5090
UDP 9000 / 9049
UDP 10000 / 10000

ognuna di queste per ogni IP del voip provider, stun, dns ?