[Problem] „Geisteranrufe“ auf 7270

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
C

Christoph_F

Neuer User
Mitglied seit
5 Dez 2006
Beiträge
80
Punkte für Reaktionen
1
Punkte
8
Hallo,

eine 7270v3 mit Freetz (74.04.88freetz-1.2-stable-7570M), die seit Jahren fast problemlos läuft, zeigte in der Nacht auf gestern ein äußerst seltsames Verhalten: ein angeschlossenes ISDN-Telefon klingelte im Abstand von ein paar Minuten:

Code: 
2 16.05.14 05:26    Name , Rufnummer unbekannt, Nebenstelle , Eigene Rufnummer 61, Dauer (hh:mm) 0:00
2 16.05.14 05:22    Name , Rufnummer unbekannt, Nebenstelle , Eigene Rufnummer 61, Dauer (hh:mm) 0:00
2 16.05.14 05:18    Name , Rufnummer unbekannt, Nebenstelle , Eigene Rufnummer 61, Dauer (hh:mm) 0:00
2 16.05.14 05:15    Name , Rufnummer unbekannt, Nebenstelle , Eigene Rufnummer 61, Dauer (hh:mm) 0:00
2 16.05.14 05:14    Name , Rufnummer unbekannt, Nebenstelle , Eigene Rufnummer 61, Dauer (hh:mm) 0:00
2 16.05.14 05:10    Name , Rufnummer unbekannt, Nebenstelle , Eigene Rufnummer 61, Dauer (hh:mm) 0:00
2 16.05.14 05:06    Name , Rufnummer unbekannt, Nebenstelle , Eigene Rufnummer 61, Dauer (hh:mm) 0:00
2 16.05.14 05:02    Name , Rufnummer unbekannt, Nebenstelle , Eigene Rufnummer 61, Dauer (hh:mm) 0:00
1 16.05.14 04:57    Name , Rufnummer unbekannt, Nebenstelle ISDN Gerät, Eigene Rufnummer 61, Dauer (hh:mm) 0:01
1 16.05.14 04:54    Name , Rufnummer unbekannt, Nebenstelle ISDN Gerät, Eigene Rufnummer 61, Dauer (hh:mm) 0:01
1 16.05.14 04:49    Name , Rufnummer unbekannt, Nebenstelle ISDN Gerät, Eigene Rufnummer 61, Dauer (hh:mm) 0:01
2 16.05.14 04:46    Name , Rufnummer unbekannt, Nebenstelle , Eigene Rufnummer 61, Dauer (hh:mm) 0:00

Beim 2.-4. Klingeln haben wir abgehoben, es war aber nichts zu hören; ich habe dann den Stecker vom klingelnden Telefon gezogen, um erstmal die Nachtruhe wiederherzustellen.

Die „Gespräche“, wo jemand von uns abgehoben hatte, tauchen als „intern“ im VOIP-Log („Sprachübertragung“) auf:

Code: 
Eigene Rufnummer:Intern
16.05.2014 4:57	207.149.113.3		G.711u	193 (-)	-	 	0 ms	0 ms (0 %)	
0:00:21	231.127.137.99			0 (-)	-	 	0 ms	0 ms (0 %)
16.05.2014 4:53	207.149.113.3		G.711u	272 (-)	-	 	0 ms	0 ms (0 %)	
0:01:43	120.10.104.110			0 (-)	-	 	0 ms	0 ms (0 %)
16.05.2014 4:48	207.149.113.3		G.711u	244 (-)	-	 	0 ms	0 ms (0 %)	
0:01:02	225.197.18.215			0 (-)	-	 	0 ms	0 ms (0 %)

Was die Sache extrem seltsam macht:
  • Die Anrufe erscheinen als „intern“, hebt man ab, sind aber nur externe IP-Adressen aus dem Internet beteiligt.
  • Die IP-Adressen existieren, ich kann jedoch keine bewußt aufgebaute Verbindung dahin feststellen.
  • Keinem Gerät ist die angezeigte „interne“ Nummer 61 zugewiesen, die vermeintlich angerufen worden ist.
  • Das ISDN-Telefon, das als einziges geklingelt hat „hört“ auch nicht auf „61“, klingelt also nicht, wenn man von einem anderen Apparat aus „61“ wählt.
  • Wie kommt es, daß ein Apparat am S0-Bus klingelt, wenn es sich andererseits um reine VOIP-Verbindungen handeln soll?

Kann jemand das erklären?
 
Hallo,
Wenn ich mir Deine Firmware ansehe: Wie aktuell ist die? Sind "neue IP-Telefone" eingerichtet? Siehe gehackte FritzBoxen...
 
Christoph_F schrieb:
Kann jemand das erklären?
Zum Vergrößern anklicken....
Hast Du schon mal vom AVM-Bug (so Anfang Februar herum) gehört ?

Freetz schützt nicht per se vor dem Bug im 'webcm' ... die Basis-Version des Mods muß auch stimmen.
 
SF1975 schrieb:
Wenn ich mir Deine Firmware ansehe: Wie aktuell ist die? Sind "neue IP-Telefone" eingerichtet? Siehe gehackte FritzBoxen...
Zum Vergrößern anklicken....
In der Tat noch nicht aktuell, aber es gibt keine Verbrecher-SIP-Konten.
 
Hallo,
KunterBunter schrieb:
Wenn die angegebene IP-Adresse tatsächlich richtig ist, hat dich ein Server einer US-Radiostation angerufen.
Zum Vergrößern anklicken....
so weit war ich auch schon, aber:
  1. Warum ist das andere Ende der Verbindung, wenn ich beim Klingeln abhebe, sonstwo in der Welt? Die Ziel-IPs sind ja auch alle nicht meine.
  2. Aus welchem Grund wird mir die Telefonnummer „61“ angezeigt?
  3. Warum klingelt bei einem SIP-Anruf ein Gerät am S0-Bus, welches jene Nummer „61“ gar nicht kennt?
 
Hallo,
Aufgrund der "selbstständigen" Anrufe tippe ich auf Besuch in Deiner FBF. Mache ein Update auf die aktuellste Version inkl. Freetz. Richte die Box händisch neu ein und prüfe das Verhalten erneut. Nimm keine Alte Sichernung, falls diese ebenfalls schmutzig ist. :meinemei:
 
Hast Du vielleicht 'ne Konsole (XBOX, PS3, o.ä.) in Dein Netzwerk eingebunden? Die verursachen sowas gerne mal.
 
Christoph_F schrieb:
Warum ist das andere Ende der Verbindung, wenn ich beim Klingeln abhebe, sonstwo in der Welt? Die Ziel-IPs sind ja auch alle nicht meine.
Zum Vergrößern anklicken....
SIP-INVITE-Nachrichten können auch per UDP-Paket (Absender kann leicht gefälscht werden) kommen und wahrscheinlich akzeptierte der SIP-Server/-Client der Fritz!Box in Deiner uralten Version noch so ziemlich jeden Quatsch.

Wenn die protokollierten Adressen nicht aus dem Header des Netzwerk-Pakets stammen (werden sie dank SIP/NAT-Problem sicherlich nicht), sondern stumpf aus dem SIP-Request kopiert wurden, steht dann im Protokoll eben Müll.

Aus welchem Grund wird mir die Telefonnummer „61“ angezeigt?
Zum Vergrößern anklicken....
Eigentlich sollte auch bei einer 7270v3 diese Nummer "incomplete" sein. Normalerweise würden angemeldete DECT-Telefone ab 610 aufwärts nummeriert. Da wird wohl bei der Auswertung der Informationen in den gefälschten SIP-Paketen einfach keine dritte Ziffer herauskommen.

Warum klingelt bei einem SIP-Anruf ein Gerät am S0-Bus, welches jene Nummer „61“ gar nicht kennt?
Zum Vergrößern anklicken....
Das würde ich auf die interne Verarbeitung der abgeschnittenen Nummer schieben.

Das ISDN-Telefon kann ja auch aus anderen Gründen klingeln, z.B. bei einem Rundruf. Da mußt Du die Nummer "**9" ja auch nicht extra im Endgerät einstellen. Ich weiß allerdings nicht einmal genau, ob die Box bei einem Rundruf die konfigurierte Hauptnummer des ISDN-Gerätes oder einfach keine CPN im D-Kanal signalisiert. Kannst Du ja selbst ausprobieren, indem Du einfach alle MSN aus dem Endgerät löschst und anschließend einen Rundruf machst. Klingelt das ISDN-Telefon dann trotzdem, erfolgt die Signalisierung unspezifisch.

Laß doch mal spaßeshalber einen Paketmitschnitt aus der WAN-Seite mitlaufen ... dann siehst Du schon, was da an SIP-Requests ankommt.
 
Hallo,
KunterBunter schrieb:
Die wären auch gar nicht nötig. Es werden sowieso deine eigenen dafür benutzt. ;)
Zum Vergrößern anklicken....
bisher hatte ich in dem Zusammenhang stets sinngemäß von „neu angelegten Internetrufnummern“ gelesen. Von dort aus könne der Verbrecher dann ausgehende Festnetz- oder VOIP-Anrufe auf seine Teuerdienst-Nummern generieren. Da die ******** ja auch nur vorgefertigte Programmpakete für ihre Angriffe verwenden und nicht extra für mich das Rad neu erfinden, dachte ich, daran würde man die erkennen. Bedeutet das nun, daß es (inzwischen) Angriffe gibt, die man nicht erkennt, die also eine Fritzbox als „Relaisstation“ mißbrauchen, ohne neue, sichtbare Konten anzulegen?

Danke schonmal für die Hinweise:
PeterPawn schrieb:
SIP-INVITE-Nachrichten können auch per UDP-Paket (Absender kann leicht gefälscht werden) kommen und wahrscheinlich akzeptierte der SIP-Server/-Client der Fritz!Box in Deiner uralten Version noch so ziemlich jeden Quatsch.

Wenn die protokollierten Adressen nicht aus dem Header des Netzwerk-Pakets stammen (werden sie dank SIP/NAT-Problem sicherlich nicht), sondern stumpf aus dem SIP-Request kopiert wurden, steht dann im Protokoll eben Müll.


Eigentlich sollte auch bei einer 7270v3 diese Nummer "incomplete" sein. Normalerweise würden angemeldete DECT-Telefone ab 610 aufwärts nummeriert. Da wird wohl bei der Auswertung der Informationen in den gefälschten SIP-Paketen einfach keine dritte Ziffer herauskommen.


Das würde ich auf die interne Verarbeitung der abgeschnittenen Nummer schieben.
Zum Vergrößern anklicken....
Bis hierhin klingt das alles sehr plausibel.
PeterPawn schrieb:
Das ISDN-Telefon kann ja auch aus anderen Gründen klingeln, z.B. bei einem Rundruf. Da mußt Du die Nummer "**9" ja auch nicht extra im Endgerät einstellen. Ich weiß allerdings nicht einmal genau, ob die Box bei einem Rundruf die konfigurierte Hauptnummer des ISDN-Gerätes oder einfach keine CPN im D-Kanal signalisiert. Kannst Du ja selbst ausprobieren, indem Du einfach alle MSN aus dem Endgerät löschst und anschließend einen Rundruf machst. Klingelt das ISDN-Telefon dann trotzdem, erfolgt die Signalisierung unspezifisch.
Zum Vergrößern anklicken....
Das würde bedeuten, daß bei einem solchen Rundruf die analogen Anschlüsse an der Box nicht mitklingeln, daß auch die ebenfalls angeschlossene ISTEC 1008 Rundrufe ignoriert. Weil es zu viel Arbeit ist, das ISDN-Telefon umzuprogrammieren, habe ich das Experiment modifiziert:
  1. Vom Analoganschluß mit **9 einen Rundrif erzeugt.
  2. Vom ISDN-Telefon mit **9 einen Rundruf erzeugt.
Egebnis:
  1. Das ISDN-Telefon klingelt.
  2. Das Analog-Telefon klingelt.
  • Die ISTEC klingelt in der Tat nie mit.
  • Im Gegensatz zu dem nächtlichen Vorfall werden die Klingelexperimente nicht als „entgangene Anrufe“ protokolliert.
  • In der Nacht hatte soweit ich mich erinnere NUR Das ISDN-Gerät geklingelt, kein analog direkt an der Fritzbox hängendes.
Ein normaler Rundruf war das jedenfalls nicht, weil zumindest die Anrufliste anders aussieht. Die nächtlichen Anrife wurden wie externe in der Anrufliste protokolliert, in den SIP-Sprachqualitätsaufzeichnungen aber explizit unter einer neuen Rubrik „intern“ aufgeführt.
PeterPawn schrieb:
Laß doch mal spaßeshalber einen Paketmitschnitt aus der WAN-Seite mitlaufen ... dann siehst Du schon, was da an SIP-Requests ankommt.
Zum Vergrößern anklicken....
Bei Gelegenheit muß ich das mal einrichten leider komme ich frühestens in einer Woche zu umfangreichen Experimenten. Heute schaffe ich gerade mal, einen USB-Stick für ein vernünftiges Syslog dranzumachen, dann bin ich erstmal unterwegs.

Hallo,
PeterPawn schrieb:
Hast Du schon mal vom AVM-Bug (so Anfang Februar herum) gehört ?
Zum Vergrößern anklicken....
ja, dachte jedoch wie anderswo im Thread erwähnt, man würde Eindringlinge auch an Konten-Änderungen sehen können.
PeterPawn schrieb:
Freetz schützt nicht per se vor dem Bug im 'webcm' ... die Basis-Version des Mods muß auch stimmen.
Zum Vergrößern anklicken....
Ist mir klar, aber bisher hatte ich die Einbruchsmöglichkeit ohne nach außen geöffneten Konfigurations-Webserver sowie ohne sichtbare neue SIP-Konten für theoretische Szenarien gehalten, die noch nicht in freier Wildbahn beobachtet worden sind. Aus Zeitmangel habe ich also den Patch hinausgeschoben. Das ist halt der Fluch von Freetz: „mal eben“ ein Update geht nicht, sofern man nicht nur ein, zwei Kleinigkeiten verändert hatte. Die Box war ein wenig vollgestopft und daher paßte eine unveränderte Konfiguration nicht mit aktuellem AVM-Update und Freetz, muß also erstmal Experimente, die es nicht gebracht hatten, ausmisten.
 
Christoph_F schrieb:
Ein normaler Rundruf war das jedenfalls nicht, weil zumindest die Anrufliste anders aussieht.
Zum Vergrößern anklicken....
Es gibt ja auch noch andere "Rufnummerngruppen" in der Box, z.B. die aus der Wählhilfe bekannten "ISDN- und Schnurlostelefone" (aka DECT). Was die Box letztlich als internes Ziel für den Anruf ansieht, sieht man wohl nur, wenn man den ctlmgr mitloggen läßt und vielleicht nicht einmal dann.

Die nächtlichen Anrife wurden wie externe in der Anrufliste protokolliert, in den SIP-Sprachqualitätsaufzeichnungen aber explizit unter einer neuen Rubrik „intern“ aufgeführt.
Zum Vergrößern anklicken....
Aus eigener Anschauung bei einem Kunden mit zwei angegriffenen 7390 kann ich sagen, daß das "normal" ist. Bei ihm standen z.B. folgende Einträge im daily log (sieht ohne HTML-Formatierung sicherlich komisch aus):
Code: 
Eigene Rufnummer: Intern
XX.05.2014 0:03	620	>|	G.711u	124 (-)	-		0 ms	 - 	
0:01	217.55.220.63	<|	G.711u	11 (-)	-		9 ms	0 ms (0 %)	

XX.05.2014 0:03	620	>|	G.711u	125 (-)	-		0 ms	 - 	
0:01	217.55.220.63	<|	G.711u	74 (-)	-		17 ms	0 ms (0 %)	

XX.05.2014 23:51	620	>|	G.711u	568 (-)	-		0 ms	0 ms (0 %)
0:12	10.254.96.2	<|		0 (-)	-		0 ms	0 ms (0 %)
Ich nehme mal an, daß die Fritz!Box alle Anrufe, die keiner abgehenden SIP-Nummer zugeordnet werden können, unter "intern" subsummiert. Wie man sehen kann, war da beim letzten Anruf sogar die Gegenstelle angeblich eine reservierte Class-A-Adresse, die sicherlich nicht im IP-Header über das Internet reinkam. Deshalb ist die zugehörige RTP-Verbindung ja auch eine Einbahnstraße, wie man an den Paketzählern unschwer feststellen kann.
Und daß diese Anrufe (bzw. diese INVITEs, mit RTP kommen bei Dir - wenn ich richtig gesehen habe - ja keine Verbindungen zustande) von extern kommen und damit protokolliert werden (im Gegensatz zu Interngesprächen) ist für mich irgendwie logisch. Was würdest Du ansonsten erwarten ?
 
Zuletzt bearbeitet:
Hallo,
ThomBrink schrieb:
Hast Du vielleicht 'ne Konsole (XBOX, PS3, o.ä.) in Dein Netzwerk eingebunden? Die verursachen sowas gerne mal.
Zum Vergrößern anklicken....
nein, nur Linuxe, ein Vista und möglicherweise war noch ein Nokia-Telefon (Windows) eingeschaltet.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 500 (Mitglieder: 2, Gäste: 498)

Neueste Beiträge

Statistik des Forums

Themen
246,219
Beiträge
2,248,328
Mitglieder
373,792
Neuestes Mitglied
gilbertsamson563
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück