Anrufe von 5199362832664 - Piraterie?

Tippfehler schrieb:

Ich empfehle Jedem, diese Rufnummer in seine Sperrliste für ankommende Rufe mit aufzunehmen und evtl. auch Rufe nach Peru zu sperren.

Zum Vergrößern anklicken....

Er kam bei mir über ein patton auf den asterisk. Asterisk zeigte sich allerdings äusserst unwillig.

Anrufversuche waren bei mir zu us-Nummern. so alle 20 Min kann hinkommen.

Gefunden worden kann das Patton eigentlich nur über gezielte scanns.

Tippfehler schrieb:

Es handelt sich um einen Telefonpiraten, der übers Internet versucht, VOIP-Router zu mißbrauchen. Das kann eine hohe Telefonrechnung zur Folge haben. Welche Router betroffen sind, kann ich leider nicht sagen, aber bei Asterisk ist es bei falscher Programmierung leicht möglich, die Anlage zu übernehmen.

Zum Vergrößern anklicken....

Hallo,

Wie soll das funktionieren? Nur weil jemand bei Dir anruft entstehen Dir doch keine Kosten. Und seit den Lockanrufen von 0137xxx-Nummern weiß doch hoffentlich jeder, dass man nicht blind jede Rufnummer zurückruft, ohne sich vorher zu erkundigen, was das Telefonat kostet.

Hallo,

ich bin offengestanden verwirrt über das Rufnummern-Format. Kein führende "0" oder gar "00". Damit müsste es theoretisch ein Ortsgespräch sein ... :gruebel:

Ich denke, da wird die Caller-ID gefälscht. Hat man überhaupt schon irgendwo zuverlässig herausgefunden, woher die Anrufe kommen?

woher diese nummer stammt bleibt offen nur ist das netz voll mit berichten davon. egal ob sie aus den usa oder russland stammen. alle berichten das selbe. abzocke!

wie auch immer.... das ganze sieht sehr nach abzocke aus. werden wir uns wohl daran gewöhnen müssen das diverse kriminelle elemente versuchen durch die verbreitung der voip technologie ihren vorteil zu erzielen.

das mit den dialern klappt ja praktisch nicht mehr.

Hallo,

seit dem 05.09.08 laufen auch auf meinem Asterisk Server derartige Anrufe über meine 1&1 VoIP Nr. auf. Anrufer ist immer 5199362832664. Mir ist noch nicht klar wie, aber es wird jedesmal ein Rückruf an verschiedene Nummern ausgelöst. Kostenpunkt bei 1&1 pro Anruf 0.79 ¤.

Ich habe jetzt den ausgehenden Nr.-Kreis gesperrt, weiss aber immer noch nicht warum Asterisk ohne mein zutun rauswählt.

Hatte jemand schon ein ähnliches Problem?

ist das nicht eher ein asterisk - problem ( phänomen ? )

Hi,

das wird an Deinem Dialplan liegen.
Hast Du in [default] irgendwo ein include=dialout o.ä. stehen?

Grüße
Timm

Hallo zusammen,

ich frage mich gerade wie diese Anrufer gerade auf Eure IP gekommen sind. Durch Portscans von Providernetzen? Oder habt Ihr Eure IPs für SIP P2P bzw ENUM irgendwo bekanntgegeben?

Ich frage aus folgendem Hintergrund: Ich betreibe zu wissenschaftlichen Zwecken ein Asterisksystem, dass möglichst viele Anrufe für SPIT- oder "Toll fraud"-Auswertungen entgegennehmen soll. Allerdings halten sich die Anrufe zur Zeit noch in Grenzen. Falls Ihr eine Idee habt, wie man die SIP URI meines Systems gut veröffentlichen kann, so dass viele Anrufversuche zu Stande kommen, wäre ich Euch dankbar.

Viele Grüße,
Dirk

sip:[email protected]

DirkNRW schrieb:

Durch Portscans von Providernetzen? Oder habt Ihr Eure IPs für SIP P2P bzw ENUM irgendwo bekanntgegeben?

Zum Vergrößern anklicken....

Ich habe einigens an IP veröffentlicht. Diese jedoch nirgendwo. Ich benutzte die "angegriffene" ip nur für interne Zwecke.

Denkermatic schrieb:

Mir ist noch nicht klar wie, aber es wird jedesmal ein Rückruf an verschiedene Nummern ausgelöst.

Zum Vergrößern anklicken....

also wenn er das nicht belegen kann, schlag ich vor, der thread geht in die "quasselecke" bevor sich die massenpanik weiter ausbreitet

das einzigste was ich dazu bisher gelesen hab, was hand und fuss hat, is das:

http://whocallsme.com/Phone-Number.aspx/5199362832664/8

Leute, leute
entspannt euch. Die Anrufe kommen von einem Provider aus Bulgarien. Es handelt sich dabei um SPIT. Die Anrufe kommen alle von der IP 213.130.74.70
http://www.db.ripe.net/whois?form_type=simple ... t=213.130.74.70
Es wird offensichtlich ein Script benutzt, das XLite verwendet um zu testen ob Eure Router als Gateway ins Telefonnetz verwendet werden können. Als Absendenummer wird 51993628.... verwendet. Das ist von der Übermittlung her eine ORTSNETZNUMMER, soll die BNetzA jetzt in allen Ortsnetzen diese Nummer sperren?
wenn Ihr kein SPIT haben wollt konfiguriert Eure Router richtig, dann hört der Spass auf.

Zum Vergrößern anklicken....

dem stimm ich zu bis auf die "ortsnetznummer".

Tippfehler schrieb:

z. B. durch mehrere Anrufe direkt hintereinander innerhalb von hundertstel Sekunden, kann das System aus dem Tritt kommen, manche Router rufen dann automatisch zurück. http://www.teltarif.de/forum/a-freenet/405-2.html
Bei manchen VOIP-Routern, z. B. Asterisk ist in der Standardkonfiguration für einen Rausruf keine Authentifizierung nötig (z. B. so wie bei sendmail). Wer es erstmal ins System geschafft hat, kann beliebig Nummern wählen, z. B. 0900.

Zum Vergrößern anklicken....

Hallo zusammen,

genau deshalb habe ich gefragt. Denn das mit den Anrufen ist nicht ein Problem, um welches sich die BNetzA kümmern muss. Und auch nicht der Provider. Zumindest was zusätzliche Kosten angeht.
Wenn jemand nicht in der Lage ist, seinen Router bzw. seinen Asterisk richtig zu konfigurieren, dann ist er selbst Schuld, wenn Kosten entstehen.
Wenn jemand dazu nicht in der Lage ist, dann darf er eben keinen Router bzw. Asterisk betreiben bzw. das dann von jemandem einrichten lassen, der das kann.

Wenn es z.B. um die Einrichtung von CallThrough geht, dann richtet man dieses auch nur mit PIN ein. Denn sich nur auf die Rufnummernübermittlung verlassen, das kann auch nach hinten losgehen. Denn jemand muss nur zufüllig diese Nummer erraten (z.B. Handynummer aus irgend einem Social Network wie StudiVZ, ICQ, usw.), schon kann er diese aus seinem Account falsch übermitteln lassen und dann kann er auch auf eure Kosten telefonieren.

Die Rufnummer wird ganz normal zum Festnetz-Tarif für Peru abgerechnet. Also nichts mit Abzocke-Rufnummer. Ruft einfach mal mit einem Provider an, der einem den Preis vorher ansagt, dann werdet ihr's sehen.

Der eigentliche Angriff wird denke ich erst später erfolgen. Das ganze jetzt soll denke ich nur dazu dienen, die Router und Asteriske zu finden, die falsch konfiguriert sind, indem mit der Rufnummer in Peru geschaut wird, welche Rufnummern dort versucht haben anzurufen.

Aber wiegesagt das mit den Rückrufen ist ganz allein euer Problem, nicht das von BNetzA, Provider usw.

Nicht umsonst steckt vielleicht im Namen von Asterisk das "Risk" mit drin.

was aber noch interessieren könnte:

von Asterisk wissen wir nun schon, dass der betroffen sein könnte. Aber welche Router haben denn dieses "Rückrufproblem"?

woher wissen wir das denn? ich hab noch keine security meldung bei digium dazu gefunden.
alles hörensagen unter dem letzten link oben. keine referenz auf wirklich belegendes.

vielleicht will da mal wieder einer freenet anschwärzen, von bulgarien aus.

und einen der das angeblich mit nem windows-script und dem closed source x-lite machen muss weil er kein C/C++ kann um OSS VoIP-software umzuprogrammieren würd ich ned wirklich gefährlich nennen ^^

woprr schrieb:

dem stimm ich zu bis auf die "ortsnetznummer".

Zum Vergrößern anklicken....

In allen Logfiles habe ich immer folgende Einträge gefunden:
02:12:42 SIP_TR> [GW] < Stack: from 213.130.74.70:3808
INVITE sip:[email protected];transport=udp SIP/2.0
Via: SIP/2.0/UDP 213.130.74.70:3808;branch=10010010110101111110111000100213.130.74.701.2.3.41863480914;rport
Max-Forwards: 100
From: <sip:[email protected]>;tag=21671132663-4985269162167113266321671132663213.130.74.70
To: <sip:[email protected]>
Call-ID: 837648111000111011100100101101011011001110010010110101111110111000100213.130.74.701.2.3.41863480914fdf23881052555169000021671132663-4509759162167113266321671132663213.130.74.701740466380
CSeq: 1 INVITE
Contact: <sip:[email protected]:3808;transport=udp>
Content-Type: application/sdp
Allow: ACK, BYE, CANCEL, INFO, INVITE, MESSAGE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE, PUBLISH
User-Agent: X-Lite release 1006e stamp 34025
Content-Length: 394

Wo steht da was mit einem "+" oder wo sind die führenden Nullen, die mir zeigen dass das ein Anschluß im Ausland ist?

Die Anrufe müssten demnach auf so ziemlich allen Displays als "5199362832664" angezeigt worden sein und das ist vom Aufbau der Nummer eine Ortsnetznummer und selbst wenn da mal ein + gewesen sein sollte... Der Rückruf vom Telefon erfolgt i.d.R. über den persönlichen Provider der Wahl auf die Nummer, die im Display steht und sollte dementsprechend zu 519..... im persönlichen Ortsnetz gehen.

Vielleicht kann ja mal jemand seine Logs posten, das wäre sicherlich zielführender als hier in wilde Panik zu verfallen, zur Polizei zu rennen und von dubiosen Rückrufen zu berichten......

Ansonsten bin ich eher für die Rubrik "Spasszeug"

die anrufe sind ja ned das problem, es geht um die behauptung, dass die einen nicht autorisierten rausruf erreichen könnten.