Anrufe von 5199362832664 - Piraterie?

[blacksun]

vielleicht will da mal wieder einer freenet anschwärzen, von bulgarien aus.

Gut, es wurde nun schon mehrfach freenet genannt. Wobei mir nicht klar ist, warum es nur Freenet betrifft.

Was sich für mich für eine Frage daraus ableitet, ist die, wenn wirklich Freenet-Kunden und deren Router betroffen sein sollen, was für Router denn Freenet ausgegeben hat.

I
Vielleicht kann ja mal jemand seine Logs posten, das wäre sicherlich zielführender als hier in wilde Panik zu verfallen, zur Polizei zu rennen und von dubiosen Rückrufen zu berichten....

Und vor allem sollten die betroffenen (also alle, deren Router tatsächlich rausgewählt hat), mal genau nennen, was sie für einen Router haben

 

[woprr]

also ich kann ne bekannte freenet box userin anrufen ohne beim freenet registrar angemeldet zu sein.

wenn man die freenet boxen da einschränkend einstellen kann, dann müssen anrufer ohne festnetzflat halt festnetzgebühren zahlen anstatt über IP direkt rufen zu können.
auch ned schön. das müssen die freenet kunden entscheiden oder freenet stellt die boxen über TR069(?) um ?

irgendwelche nummern blacklisten ist aber sinnlos, die kann der "angreifer" jederzeit ändern.

 

[blacksun]

also ich kann ne bekannte freenet box userin anrufen ohne beim freenet registrar angemeldet zu sein.

Und was hat Deine Bekannte für einen Router? Oder hat sie keinen Anruf von der Nummer bekommen?

 

[woprr]

hattse von freenet gekriegt.
http://www.freenet.de/hilfe/iphone/hardware/konfiguration/index.html
einer von denen wohl (welcher, das blicktse nicht und anrufe kriegtse den ganzen tag )

 

[Denkermatic]

also wenn er das nicht belegen kann, schlag ich vor, der thread geht in die "quasselecke" bevor sich die massenpanik weiter ausbreitet

War ein paar Tage nicht da, hier jetzt aber entsprechende Auszüge aus meinen Logfiles. Inzwischen kommen aber keine weiteren Anrufe von dieser Nr. mehr rein. Asterisk ist 1:1.4.17~dfsg-2ubuntu1.

Eintrag aus Master.csv:

"","5199362832664","s","default","5199362832664","SIP/phone1-081e5388","","","","2008-09-06 20:06:51",,"2008-09-06 20:06:59",8,0,"NO ANSWER","DOCUMENTATION","asterisk-21684-1220731611.6",""

Eintrag aus /var/log/asterisk/full:

[Sep  6 20:04:33] NOTICE[21711] chan_sip.c: Call from '' to extension '00#525551690000' rejected because extension not found.
[Sep  6 20:04:53] WARNING[21711] chan_sip.c: Maximum retries exceeded on transmission 9c37ba8b110000011000010001000101011111111011101101111000000000000001010213.130.74.7077.181.135.206-15356140321ee107700#5255516900003014104257717297209843014104257730141042577213.130.74.70-1770933956 for seqno 1 (Critical Response)

 

[woprr]

und? wo soll da ein problem sein?

 

[Denkermatic]

und? wo soll da ein problem sein?

Vielleicht ist der folgende Auszug hilfreicher:

"","[B]5199362832664[/B]","[B]00525551690000[/B]","default","5199362832664","SIP/77.181.155.14-081e69c8","SIP/phone1-081e4f50","Dial","SIP/00525551690000@phone1|45|trg","2008-09-04 22:37:46","2008-09-04 22:37:50","2008-09-04 22:38:10",24,[B]20[/B],"[B]ANSWERED[/B]","DOCUMENTATION","asterisk-18367-1220567866.0",""

Clid 5199362832664 hat 00525551690000 gewählt und es ist eine Verbindung für 20 Sekunden zustande gekommen. Ein Blick in die Kostenaufstellung bei 1&1 zeigt, dass der Anruf 0,79 ¤ gekostet hat. Wahrscheinlich die normale Verbindungsgebühr. Nur wie konnte der Anruf überhaupt durchgeführt werden?

Wie gesagt, es sind keine weiteren Fälle aufgetreten, ich habe die Nr. gesperrt und auch den default-context geändert. Vielleicht wars auch einfach eine unsichere Konfiguration meines Asterisk Servers. Werde das mal weiter beobachten.

 

[Timmbo]

Hi,

Asterisk akzeptiert nicht registrierte Calls über den default context.
Wenn du jetzt im default context z.B. include=dialout bzw einen context includest welcher eine Verbindung zu 1&1 zulässt, dann passiert soetwas.
Poste doch einmal deinen default context.

Grüße
Timm

 

[Denkermatic]

Asterisk akzeptiert nicht registrierte Calls über den default context.
Wenn du jetzt im default context z.B. include=dialout bzw einen context includest welcher eine Verbindung zu 1&1 zulässt, dann passiert soetwas.

Genau das scheint das Problem gewesen zu sein, vielen Dank. Ich habe den Context inzwischen geändert.

Danke und viele Grüße.

 

[woprr]

Nur wie konnte der Anruf überhaupt durchgeführt werden?

typisch ubuntu user. drauflosbasteln anstatt doku vorher zu lesen und sich dann über sowas wundern und die ganze welt verrücktmachen im netz

 

[sebsta]

SPIT-Schutz aktivieren

Hi zusammen,

ich hatte auch diese nervigen Anrufe von der Nummer. Nach Rückfrage beim meinen Provider (freenet) erhielt ich den Tipp bei meiner Box (Samsung 3210) den SPIT-Schutz zu aktivieren. Hierzu musste ich zunächst die aktuelle Firmware (3.01) runterladen und dann in den Einstellungen diesen Schutz aktivieren. Das geht wie folgt:

Reiter Telefonie aufrufen--> Punkt DSL-Telefonie wählen --> Optionen auswählen --> SPIT-Schutz aktivieren und speichern.

Da ich parallel auch noch eine AVM Box nutze, habe ich mich dafür auch gleich schlau gemacht. Dort findet Ihr die Einstellung allerdings nur in der Expertenansicht (ebenfalls mit der neusten Firmware von AVM):
Einstellungen --> Telefonie --> Internettelefonie --> "Account bearbeiten/neue Internetrufnummer" --> SPIT-Schutz aktivieren (Diese Einstellung ist wie gesagt nur in der Expertenansicht sichtbar) und speichern.

Anschließend war Schluss mit diesen nervigen Anrufen und es läuft alles wieder bestens ;-)

viele Grüße

sebsta

 

[Tippfehler]

Welche Firmware hast Du auf der Fritzbox?
Bei meiner (54.04.58 ) habe ich diese Einstellung nicht gefunden.

Könnte es sein, dass man damit dann auch ENUM abstellt?

 

[voodoobaby]

wie soll dieser spitschutz funktionieren bzw arbeiten ?

tägliche aktualisierung über eine spitnummerndatenbank , in der die spit-people ihre nummern ablegen ?



wieso hat noch niemand diese "einstellung " in seiner box gefunden ?

 

[Frank-voip]

Hallo!

Gerade mal geschaut.
Neue Internetrufnummer -> Wenn man freenet als Anbieter auswählt steht dann ganz unten:
"SPIT-Schutz
[ ]Nur DSL-Telefonie-Anrufe annehmen, die von Ihrem DSL-Telefonie-Anbieter vermittelt werden.

 

[voodoobaby]

interessant

meine 7170 ( von 1&1 ) mit aktueller labor hat freenet als anbieter nicht im angebot , daher auch kein spitschutz

wäre immer noch interessant , wie das technisch durchgeführt wird

 

[FBonNET]

Servus,

entbranden, dann dürfte Freenet vorhanden sein.

 

[voodoobaby]

in ermangelung eines freenet-accounts spare ich mir das und warte , dass 1&1 das eventuell einführt

oder gibts das schon heimlich ?

wär das eine erklärung , dass manche probleme mit ankommenden anrufen haben ?

 

[blacksun]

wäre immer noch interessant , wie das technisch durchgeführt wird

Nun, ich vermute mal wie folgt:

Nehmen wir mal an, der Benutzername eines in der FritzBox eingerichteten VoIP-Accounts ist testmann. Als Benutzernamen wird immer das genommen, das Du in's Feld "Benutzername" geschrieben hast. Wenn Du das Häkchen bei "Internetrufnummer für die Anmeldung verwenden" gesetzt hast, dann wird stattdessen die dieses Feld als Benutzernamen benutzt, um sich beim VoIP-Provider anzumelden.

Der Provider steht im Feld "Registrar". Im Falle von Freenet ist das freenet.de

Deine sip-URI lautet dann so:
[email protected]

Jetzt muss man wissen, dass Du im Grunde über drei Wege angerufen werden kannst:

1. Rufnummer
Jemand wählt Deine Freenet-Rufnummer 089xxxxx z.B. vom Telekom-Anschluss. Dann landet das Gespräch über die Rufnummer bei freenet, die schauen nach, zu welcher sip-uri das gehört, und leiten das gespräch dann zu deiner fritzbox und es klingelt.

2. sip-uri
Manche VoIP-Telefone und Softphones bieten die Möglichkeit, dass man ihn über die SIP-URI anruft. Wenn z.B. jemand für seinem VoIP-Account keine Rufnummer hat, kann man ihn nur über die SIP-URI anrufen. Dazu trägst Du [email protected] in's Telefon ein, und wie bei email sieht man ja jetzt, dass der Anrufer zum Benutzer testmann bei freenet möchte.
Er landet also wieder bei Freenet und die vermitteln weiter zu Dir.
Nun muss man wissen, dass die meisten Provider keine Anrufe von extern zulassen. Sprich Dein Registrar muss ebenfalls freenet bzw. ein Registrar der Partnernetze sein. Das sind die Netzte, die in der Tariftabelle als "Partnernetze" aufgeführt sind und die Du umsonst anrufen kannst. Sipgate ist z.B. ein Partner
Ist Deine Absender-Uri aber z.B. [email protected] , dann ist meinProvider.com kein Partner von freenet und blockt diesen Anruf.

3. "FritzBox-Sip-URI"
Ein anderer mit der SIP-URI kann Dich aber dennoch erreichen und zwar über Deine ip-Adresse. Statt über [email protected] ruft er stattdessen einfach die URI [email protected] an, wobei die ip-Adresse Deine öffentliche ip-Adresse ist.
Dann landet der Anrufer nämlich genau auf deiner FritzBox. Durch den Benutzernamen testmann weiß die FritzBox dann, welcher Account gemeint ist, und es klingelt.
Hast Du mehrere Accounts in der FritzBox angelegt, deren Benutzernamen testmann ist, klingelt es an allen Telefonen, die den beiden Accounts zugeordnet sind.

Und ich vermute, dass der Anrufer aus Bulgarien genau das macht. Er kombiniert Benutzernamen und ip-Adressen. Evtl. kann er das wilde probieren einschränken, wenn er zum einen Benutzernamen kennt oder aber wenn er die Möglichkeit hat, durch einen Portscan in bestimmten ip-Bereichen herauszufinden, an welchen ip-Adressen ein VoIP-Gerät bzw. ein VoIP-Router betrieben wird. Dann weiß er zumindestschonmal die ip und kann dann solange mit verschiedenen Benutzernamen an der ip ausprobieren, bis er erfolg hat.
Wie bei Spam halt auch. Man nimmt eine Domain z.B. gmx.de und probiert wilde Kombinationen vor dem @-Zeichen.

Und ich vermute, dass die Option in der FritzBox mit dem spit-Schutz genau dasselbe macht wie Dein Provider. Wenn die Absende SIP-URI nicht auf freenet.de lautet, wird der Call nicht angenommen.

 

[DWW]

Hi,

ist vielleicht eine Kleinigkeit, deswegen klinke ich mich hier mal ein:

hab zwei Anrufe bekommen direkt hintereinander auf meine MSN3 = Faxnummer.
Da ich nur "unbekannt#MSN3" und einige bekannte Nummern auf mein internes Fax (SipgateNr) umleite, wurde dieser Anruf nicht umgeleitet, da eine (komische) Nummer übertragen wurde.

Kann jemand damit was anfangen, wo die Nr. 00165510 herkommt?

Monitor:


Anrufliste:


(ps: ja, die Uhrzeiten stimmen um 3 Minuten nicht überein, das ist so.)

 

[doc456]

@DWW, das ist ne Ami-Nummer. Such doch mal bei Yellow-Pages, etc