[jensnb]

Hallo,
ich wurde von einer Kundin darauf aufmerksam gemacht das Sie keine eingehenden Anrufe mehr empfangen kann. Daraufhin habe ich mich der Sache angenommen und bin über den Log reporter auf ausländische Telefonate gestossen
und diese Log Datei:
18:33:43.093 [MS105000] C:348.3: No RTP packets were received:remoteAddr=88.198.69.250:40056,extAddr=195.xx.xx.139:9024,localAddr=195.4.1.139:9024
18:33:43.093 [CM503008]: Call(348): Call is terminated
18:33:43.093 [CM503008]: Call(348): Call is terminated
18:33:42.046 [CM503007]: Call(348): Device joined: sip:portbg@88.198.69.250:28372
18:33:42.031 [CM503007]: Call(348): Device joined: sip:0152xxx@213.167.162.xxx
18:33:42.031 [CM505001]: Ext.101: Device info: Device Not Identified: User Agent not matched; Capabilities:[reinvite, replaces, able-no-sdp, recvonly] UserAgent: [PBX] Transport: [sip:192.168.1.10:5060]
18:33:42.031 [CM503002]: Call(348): Alerting sip:portbg@88.198.69.250:28372
18:33:41.968 [CM503024]: Call(348): Calling Shared:Ext.101@[Dev:sip:portbg@88.198.69.250:28372]
18:33:41.921 [CM503024]: Call(348): Calling Shared:Ext.101@[Dev:sip:101@10.0.0.11:6011]
18:33:41.906 [CM503004]: Call(348): Route 1: Shared:Ext.101@[Dev:sip:101@10.0.0.11:6011, Dev:sip:portbg@88.198.69.250:28372]
18:33:41.906 [CM503010]: Making route(s) to <sip:101@10.0.0.2:5060>
18:33:41.906 [CM505003]: Provider:[519951] Device info: Device Not Identified: User Agent not matched; Capabilities:[reinvite, replaces, able-no-sdp, recvonly] UserAgent: [Krypton MGW v1.3.0 node 2 HFO Telecom AG] Transport: [sip:192.168.1.10:5060]
18:33:41.906 [CM503001]: Call(348): Incoming call from 01522xxxx@(Ln.10001@519951) to <sip:101@10.0.0.2:5060>
18:33:41.843 [CM503012]: Inbound out-of-office hours rule (unnamed) for 10001 forwards to DN:101
18:30:56.468 [CM504001]: Ext.101: new contact is registered. Contact(s): [sip:101@10.0.0.11:6011/101, sip:portbg@88.198.69.250:28372/101]

Der Typ telefoniert über eine meiner Nebenstellen von aussen über die Anlage, aber offensichtlich nutzt er dafür nicht den Tunnel. Was kann ich dagegen tun? Die Nebenstelle habe ich gelöscht. Wie konnte das möglich sein?

[ck1_hh]

Hallo,
ich wurde von einer Kundin darauf aufmerksam gemacht das Sie keine eingehenden Anrufe mehr empfangen kann. Daraufhin habe ich mich der Sache angenommen und bin über den Log reporter auf ausländische Telefonate gestossen
und diese Log Datei:
18:33:43.093 [MS105000] C:348.3: No RTP packets were received:remoteAddr=88.198.69.250:40056,extAddr=195.xx.xx.139:9024,localAddr=195.4.1.139:9024
18:33:43.093 [CM503008]: Call(348): Call is terminated
18:33:43.093 [CM503008]: Call(348): Call is terminated
18:33:42.046 [CM503007]: Call(348): Device joined: sip:portbg@88.198.69.250:28372
18:33:42.031 [CM503007]: Call(348): Device joined: sip:0152xxx@213.167.162.xxx
18:33:42.031 [CM505001]: Ext.101: Device info: Device Not Identified: User Agent not matched; Capabilities:[reinvite, replaces, able-no-sdp, recvonly] UserAgent: [PBX] Transport: [sip:192.168.1.10:5060]
18:33:42.031 [CM503002]: Call(348): Alerting sip:portbg@88.198.69.250:28372
18:33:41.968 [CM503024]: Call(348): Calling Shared:Ext.101@[Dev:sip:portbg@88.198.69.250:28372]
18:33:41.921 [CM503024]: Call(348): Calling Shared:Ext.101@[Dev:sip:101@10.0.0.11:6011]
18:33:41.906 [CM503004]: Call(348): Route 1: Shared:Ext.101@[Dev:sip:101@10.0.0.11:6011, Dev:sip:portbg@88.198.69.250:28372]
18:33:41.906 [CM503010]: Making route(s) to <sip:101@10.0.0.2:5060>
18:33:41.906 [CM505003]: Provider:[519951] Device info: Device Not Identified: User Agent not matched; Capabilities:[reinvite, replaces, able-no-sdp, recvonly] UserAgent: [Krypton MGW v1.3.0 node 2 HFO Telecom AG] Transport: [sip:192.168.1.10:5060]
18:33:41.906 [CM503001]: Call(348): Incoming call from 01522xxxx@(Ln.10001@519951) to <sip:101@10.0.0.2:5060>
18:33:41.843 [CM503012]: Inbound out-of-office hours rule (unnamed) for 10001 forwards to DN:101
18:30:56.468 [CM504001]: Ext.101: new contact is registered. Contact(s): [sip:101@10.0.0.11:6011/101, sip:portbg@88.198.69.250:28372/101]

Der Typ telefoniert über eine meiner Nebenstellen von aussen über die Anlage, aber offensichtlich nutzt er dafür nicht den Tunnel. Was kann ich dagegen tun? Die Nebenstelle habe ich gelöscht. Wie konnte das möglich sein?

Hmm.
Sind die Passwörter der Nebenstellen = die Nebenstellennummern (das war damals als Default-Einstellung so). Hast Du Buchstaben /Groß/Klein Schreibung/Zahlen mit drinnen?
Hast Du in Deiner Firewall für SIP auch nur die IP-Adressen Deines SIP-Providers zugelassen?
Wir haben SIP nach außen verschlossen. Selbst den 3cx Tunnel lassen wir erst dann durch, wenn z.B. 3cx Phone DydDns Updates ermöglicht, damit unsere Firewall nur "gewollte" User rein läßt.

LG

Carsten

[jensnb]

Die Nebenstellen hatten noch die Default Passwörter und im Router waren die üblichen Ports 3478, 5060, 9000-9050 und der Tunnel 5090 offen. IP Hinterlegung vom Provider kannte ich bisher auch nicht. Der Typ kam laut IP Adresse von IP Tel, woher er allerdings unsere IP Adresse und die Möglichkeit des Eindringens gefunden hat ist mir schleierhaft. Ich bin auch nur darauf gekommen weil die Kundin keine Anrufe mehr bekam und irgendwer den Anruf sofort angenommen und dann gleich wieder aufgelegt hat und dann sah ich den zusätzlichen Eintrag beim Anmelden der Nebenstelle. Es wurden meiner Meinung nach wahllos diverse Rufnummern im Ausland angerufen. Aus Sicht des Täters ist das wohl seine Art von "Fun" weil er`s "draufhat". Mitlerweile habe ich alles umgeswitcht und die externe Erreichbarkeit komplett eingeschränkt. Die feste IP die er abgescannt haben muß, wurde gegen eine dynamische getauscht. Ich kann mir gut vorstellen das es da außer uns noch mehr Betroffene (mit fester IP für 3CX) gibt, wo er sich eingenistet hat.

[StefanW]

http://www.3cx.de/blog/externe-absicherung/

http://www.3cx.de/blog/v9-sp2/

[ck1_hh]

Die Nebenstellen hatten noch die Default Passwörter und im Router waren die üblichen Ports 3478, 5060, 9000-9050 und der Tunnel 5090 offen. IP Hinterlegung vom Provider kannte ich bisher auch nicht. Der Typ kam laut IP Adresse von IP Tel, woher er allerdings unsere IP Adresse und die Möglichkeit des Eindringens gefunden hat ist mir schleierhaft. Ich bin auch nur darauf gekommen weil die Kundin keine Anrufe mehr bekam und irgendwer den Anruf sofort angenommen und dann gleich wieder aufgelegt hat und dann sah ich den zusätzlichen Eintrag beim Anmelden der Nebenstelle. Es wurden meiner Meinung nach wahllos diverse Rufnummern im Ausland angerufen. Aus Sicht des Täters ist das wohl seine Art von "Fun" weil er`s "draufhat". Mitlerweile habe ich alles umgeswitcht und die externe Erreichbarkeit komplett eingeschränkt. Die feste IP die er abgescannt haben muß, wurde gegen eine dynamische getauscht. Ich kann mir gut vorstellen das es da außer uns noch mehr Betroffene (mit fester IP für 3CX) gibt, wo er sich eingenistet hat.

Na, ja, mit einem IP/Port Scanner kannst Du ganz einfach IP-Adressen finden, die freie Ports haben und wenn Du die Standard-Ports verwendest sind diese einfach zuordenbar.
Sicherheit ist im Netz sehr wichtig und wird immer unterschätzt.
Ich glaube es sind mehrere 3cx Systeme gehackt worden, sonst hätte 3cx nicht so fix ein Update herausgebracht, welches auf "mangelhafte" Passwörter hinweist...
Auf jeden Fall eine gute Reaktion. Ich würde mir für die Tunnel Software noch DYNDNS Updates wünschen, damit wir noch mehr Sicherheit haben.

LG

Carsten

[jensnb]

Ich hab den Tunnel Port erstmal geschlossen und sämtliche Nebenstellen mit neuen Passwörtern versehen. Nach meinen Sofortmaßnahmen ist der Hacker auch erst Mal verschwunden. Hoffe das bleibt auch so. Habe allerdings nur die Version 7.1. Aufkohlen machte für uns erst Mal keinen Sinn da die neue 9er ja für die Small Business Version auch wieder über 300,- EUR kostet. Wir brauchen auch die 8 gleichzeitigen Calls.
Und ganz nebenbei war gestern dann auch die Polizei bei uns und hat die Strafanzeige gegen unbekannt erst mal aufgenommen, mal sehen ob was bei herauskommt. Ich denke jedenfalls das man sich so etwas nicht gefallen lassen muß.

[ck1_hh]

Und ganz nebenbei war gestern dann auch die Polizei bei uns und hat die Strafanzeige gegen unbekannt erst mal aufgenommen, mal sehen ob was bei herauskommt. Ich denke jedenfalls das man sich so etwas nicht gefallen lassen muß.

Wir hatten einmal einen Fall von Datenklau. Hier hatten wir sehr deatillierte Protokolle samt IP Adressen.
Wenn der User aus Deutschland kommt (was ich nicht glaube), dann weiss die Polizei genau von welchem Telefonanschluss dies geschehen ist. Ruf einfach einmal bei dem zustänigen Staatsanwalt an, der kann Dir mehr Infos geben.
Es gibt auch beim LKA eine entsprechende Spezialabteilung....

LG

Carsten

[matictec]

Hallo,

wir haben mittlerweile auch verstärkt Anfragen wegen gehackter Anlagen. Natürlich nicht von Kunden, wo wir die Anlagen eingerichtet haben oder bei Kunden, die unsere Ratschläge selber umgesetzt haben.

Was vielen offenbar nicht bewusst ist, ist die Tatsache, dass

1) wenn VoIP genutzt wird und somit Portweiterleitungen geschaltet sind, externe SIP-Pakete eintreffen können und somit auch Anmeldungen stattfinden können.
2) nie default-Passwörter genutzt werden sollten.
3) keine zu einfachen Kennwörter genutzt werden sollten.
4) auch die Standardpasswörter für Fax, Adminzugang und Tunnel geändert werden sollten.
5) Sicherheit höchste Priorität hat.

Alle Angriffe, die wir festgestellt haben kamen aus Ländern, die weit weit von uns weg sind. Auf dem Schaden bleibt man dann mitunter sitzen, denn meist werden Auslandstelefonate geführt, die mehrere € pro Minute kosten.