Im Display Anruf von "10*0*1*199" meines C601A IP. Was ist das?

[rudiratlos45]

Gestern Abend ging bei mir der Terror weiter. Ich habe dann während eines Anrufes die Internetleitung gekappt und das Telefon, welches nur über Voip verbunden ist, klingelte munter weiter. Auch habe ich nie eine Portweiterleitung bei meiner Firewall eingerichtet. Selbstverständlich verwende ich NAT und habe gegen Aussen keine offene Ports. Ich bin echt ratlos, woher diese Anrufe stammen. Schon mal herzlichen Dank für Eure Hilfe.

 

[thtomate12]

ABER: KEIN INTERNETPROVIDER! Bei mir hängen die Dinger (2 Phones, es bimmeln immer beide) an einem Asterisk-Server

Kommt das Gigaset an Gateway? Also könnte es sich mit Gigaset.net verbinden?

 

[rudiratlos45]

Ja theoretisch schon. Der Gateway ist beim Gigaset eingetragen, jedoch habe ich andere Provider (z.B. Gigaset.net) explizit deaktiviert.

 

[sadxx]

Bei mir ist seit gestern 7.00 Uhr Ruhe. Habe die Portweiterleitung rausgeworfen. NAT ist weiterhin aktiviert. Ich bin auch über sipgate aufs Telefon erreichbar. Mal sehen wie lange die Ruhe anhält.

 

[sparkie]

andere Provider (z.B. Gigaset.net) explizit deaktiviert.

das kuemmert die Gigaset herzlich wenig. Selbst wenn du

- Automatic check for profile updates:
- Automatic check for software updates:
- Gigaset Communications:
- Activate Info Services:
- Automatic look-up of caller's name:

alles auf 'no' setzt telefoniert das Teil munter nach Hause zu 'http://update.gigaset.net' und zwar mindestens nach einem Reboot

Ein Schelm, wer Böses dabei denkt

 

[10*0*1*199Jäger]

Hallo zusammmen,

ich habe dasselbe Problem, und wollte euch mal mitteilen dass ich auf die Wire-shark idee auch schon kam. Ich kam noch nicht dazu, ein gerät was mitschneidet zwischen telefon und router zu montieren, aber ich habe gestern Abend im webinterface meines routers gesehen, dass es eine INBOUND UDP connection gab zu meinem Telefon als es geklingelt hat, von der IP 104.219.234.226:5060. Reverse DNS meint irgendwas von "want.some.vodka", mehr hab ich noch nicht rausfinden können auf die schnelle. Falls jemand bestätigen kann dass die Anrufe von dieser IP kommen wäre das nicht schlecht. Ich melde mich wieder, sobald ich Zeit hatte das ganze mit Wireshark anzugehen.

Viele Grüsse und viel durchhaltevermögen.

 

[Thomas Hopf]

Kommt das Gigaset an Gateway? Also könnte es sich mit Gigaset.net verbinden?

Mein Gigaset kennt das Gateway nicht. Das ist nur dem Asterisk bekannt. Würde es etwas damit zu tun haben, würden die Anrufe über ISDN kommen, was wir getrost ausschließen können. Das Gigaset muss die Anrufe über einen anderen Weg erhalten.
Da wir alle das gleiche Problem in verschiedenen Umgebungen haben, können wir einige Erreger schon ausschließen: Asterisk, Gateway, ISDN, Provider. Es bleiben zwei Verdächtige: Das Gigaset selbst oder irgendetwas anderes, was uns aus dem Internet erwischt.
Wäre es das Gigaset selbst, würden die Anrufe erfolgen, ohne dass auslösende Datenpakete über das LAN kämen. Das kann man mit einem Wireshark-Log feststellen.
Wahrscheinlicher ist, dass es SIP-Anrufe sind, die man loggen kann und wenn das gelingt, haben wir den Übeltäter. Auch hier gibt es mehrere Möglichkeiten: irgend ein Gerät im eigenen LAN löst diese Rufe aus. Das würde ich erst mal ausschließen wollen, denn unsere Umgebungen sind zu unterschiedlich, als dass man da irgend einen Verdächtigen fest machen könnte. Vielleicht haben wir aber alle iPads oder iPhones, oder irgend ein anderes Gerät, das den Ärger verursacht. Das würde man dann aber im Log sehen können.
Wahrscheinlicher ist, dass irgendetwas über das Internet bei uns herein schneit, was die Gigasets nicht leiden können. Könnte man auch im Log sehen.
10*0*1*199 ist übrigens eine IP-Adresse die in unser aller Netze nicht herein passt. Ein Anruf von dieser Adresse, würde bei uns also eigentlich gar nicht ankommen können. Ich weiß auch nicht, ob das Gigaset echte IP Adressen wirklich mit Sternen zwischen den Ziffern anzeigt. Ich habe den Verdacht, dass das gar keine IP Adresse ist, sondern nur ein Name eines Anrufers, genauso wie Müller oder Meier. Würde man auch im Log sehen können.
Mein Gigaset kommuniziert mit dem Messenger Service. Das ist eine Verbindung die ich im Gigaset selbst nicht unterbinden kann. Das ist schon mal nicht in Ordnung, vielleicht hat einer von euch eine Idee wie man das wegbekommt.

 

[Thomas Hopf]

Kommt das Gigaset an Gateway? Also könnte es sich mit Gigaset.net verbinden?

Zur Klarstellung: auf normalem Wege ist es nicht möglich meine Gigasets über das Internet anzurufen. Es geht nur Netz intern oder von außen über ISDN. Trotzdem kommen bei mir diese seltsamen Anrufe rein.

 

[MuP]

An Gigaset N510IP PRO / S510H PRO werden keine derartigen Effekte gemeldet.
Portsetting:
https://www.gigaset.com/fileadmin/l...re/Docs_Pics/VoIP_nat-troubleshooting_ger.pdf

Gigaset.net und Gigaset-Services sind deaktiviert.

3x SIP direkt beim Provider angemeldet.

Vielleicht bedeutsam, da keiner der Poster den genauen Stand mitteilt --> Firmware siehe Signatur.

 

[fzelle]

Die IP 104.219.234.226 taucht auch in anderen Foren ( z.b. wirlpool ) auf. Der steht angeblich in den US of A und hat auch einen NGinx laufen. Wird also wahrscheinlich als Relay benutzt.

 

[MuP]

Die andere IP wird von Hong-Kong aus genutzt (siehe bei WP unter Stichwort want.some.vodka, mercedesbens***).

 

[sparkie]

Hat jemand die Chance mal einen Datenmitschnitt direkt vor dem Gigaset zu machen, in dem Moment, wo so ein Ruf reinkommt?

habe gerade mal eine Anlage mit tcpdump und C430A GO / 42.223 aufgesetzt. Portbereich UDP 5000:6000 wird direkt auf's GigaSet geforwarded.

Ich weiss aber nicht was ich noch alles an der C430A GO einstellen soll. Eine 10*0*1*199 habe ich noch nie gehabt. Auch nicht auf der Produktivanlage.

 

[MuP]

... Ich weiss aber nicht was ich noch alles an der C430A GO einstellen soll ...

Alle Settings entgegen den Ratschlägen einstellen:
http://forums.whirlpool.net.au/forum-replies.cfm?t=2443317&p=3&#r45

 

[sparkie]

Alle Settings entgegen den Ratschlägen einstellen:

also uPnP kann ich auf die Schnelle nicht unterstuetzen

Ansonsten habe ich jetzt alle Vorsichtsmassnahmen mal absichtlich missachtet um einen Treffer (Geisteranruf) zu bekommen. Ohne "Erfolg" bislang.

Wenn man die Postings aber so liest dann scheint das Problem eher daran zu liegen, dass die Gigaset selbststaendig irgendeine Verbindung ins Internet aufbaut und im Gefolge dieser etwas Komisches passiert. Es wundert mich sowieso mit wem alles die Gigaset (auch bei mir) unaufgefordert kommuniziert...

 

[Catalonia]

Wenn man die Postings aber so liest dann scheint das Problem eher daran zu liegen, dass die Gigaset selbststaendig irgendeine Verbindung ins Internet aufbaut und im Gefolge dieser etwas Komisches passiert. Es wundert mich sowieso mit wem alles die Gigaset (auch bei mir) unaufgefordert kommuniziert...

So ist es aber nicht. Klar bauen die Gigaset ueber das Internet verschiedene Verbindungen zu Services auf, die sie benutzen (Update-Service, gigaset.net usw.), aber da wird sicherlich nicht 'unaufgefordert' kommuniziert.
Das hier diskutierte Problem wird immer durch Verbindungen verursacht, die von aussen kommen. Es sind ja auch nicht alle Leute mit IP-Gigasets von diesem Problem betroffen. Mein Gigaset DX800A und Gigaset S850 GO an einem pfSense Router zeigen kein SPIT (Spam over Internet Telephony). Vielleicht solltest du noch mal kontrollieren, ob dein 'handmade firewalling stuff' wirklich keine Problem macht.

 

[gigasip]

In dem englischsprachigen Forum werden evtl. folgende Server für die Angriffe verantwortlich gemacht, u.a. want.some.vodka, sicher ist das aber noch nicht:

From the logs, as far as I can see the 'attacks' have come from 119.81.162.124 (Hong Kong) and 104.219.234.226 (NY, USA).​

Siehe: forums.whirlpool.net.au Dort sind viele Beiträge aus aller Welt. Betrifft weiterhin fasst nur Gigasets.

Habe den Tipp von dort: http://whrl.pl/Ren0xI mit den „Random Ports“ am Gigaset umgestellt:

-> Telefonie -> weitere VOIP-Einstellungen -> "Zufällige Ports nutzen" und Port 5065 – 5076 eingetragen.

Seitdem habe ich keine Zugriffsversuche von ominösen Rechnern mehr.
Das hat aber nichts direkt mit den Anrufen zu tun (ist noch unbestätigt), schützt dafür vor anderen Zugriffen.
Vorher hatte ich ungewöhnlich viele Einträge in meinem Routerprotokoll:

[LAN access from remote] from 188.138.61.139:5189 to 192.168.11.11:5060, Tuesday, Aug 25,2015 15:20:29
[LAN access from remote] from 155.94.64.42:5070 to 192.168.11.11:5060, Tuesday, Aug 25,2015 15:18:50
[LAN access from remote] from 188.138.61.139:5103 to 192.168.11.11:5060, Tuesday, Aug 25,2015 15:13:29
[LAN access from remote] from 199.48.164.101:5071 to 192.168.11.11:5060, Tuesday, Aug 25,2015 14:49:47
[LAN access from remote] from 155.94.64.42:5070 to 192.168.11.11:5060, Tuesday, Aug 25,2015 14:48:42
[LAN access from remote] from 69.64.49.133:5157 to 192.168.11.11:5060, Tuesday, Aug 25,2015 14:43:27
[LAN access from remote] from 209.126.99.80:5162 to 192.168.11.11:5060, Tuesday, Aug 25,2015 14:43:08
[LAN access from remote] from 85.25.210.206:5087 to 192.168.11.11:5060, Tuesday, Aug 25,2015 14:39:12
[LAN access from remote] from 155.94.64.42:5071 to 192.168.11.11:5060, Tuesday, Aug 25,2015 14:18:09
[LAN access from remote] from 62.75.185.109:5078 to 192.168.11.11:5060, Tuesday, Aug 25,2015 14:16:00
[LAN access from remote] from 62.210.104.185:5070 to 192.168.11.11:5060, Tuesday, Aug 25,2015 14:01:23
[LAN access from remote] from 5.189.138.5:5061 to 192.168.11.11:5060, Tuesday, Aug 25,2015 14:00:20
[LAN access from remote] from 62.210.104.185:5070 to 192.168.11.11:5060, Tuesday, Aug 25,2015 12:56:16
[LAN access from remote] from 83.125.8.154:25074 to 192.168.11.11:5006, Tuesday, Aug 25,2015 12:31:58
[LAN access from remote] from 75.146.3.234:5131 to 192.168.11.11:5060, Tuesday, Aug 25,2015 12:01:29
[LAN access from remote] from 62.210.104.185:5070 to 192.168.11.11:5060, Tuesday, Aug 25,2015 11:45:10
[LAN access from remote] from 107.150.41.58:5072 to 192.168.11.11:5060, Tuesday, Aug 25,2015 11:37:58
[LAN access from remote] from 199.189.87.77:5218 to 192.168.11.11:5060, Tuesday, Aug 25,2015 11:11:26
[LAN access from remote] from 69.64.38.156:5072 to 192.168.11.11:5060, Tuesday, Aug 25,2015 11:00:27
[LAN access from remote] from 62.210.104.185:5070 to 192.168.11.11:5060, Tuesday, Aug 25,2015 10:34:01

Jetzt - seit 24 Stunden - keine(!) Einträge mehr.

Folgende Fragen sind noch nicht beantwortet:

- Ist Anrufruhe wenn man:

- den Netzzugriff auf die obigen beiden Server blockiert?​

- die Option „zufällige Ports“ nutzt?​

- Haben die gemeldeten Gigasets eine aktuelle Firmware installiert?
- Kann der Zugriff auf den Messaging-Dienst geblockt werden (Frage von Thomas Hopf)?

 

[thtomate12]

@Thomas Hopf: Zu erst sagst du, dass dein Gigaset das Gateway nicht kennt, doch dann kommuniziert es mit dem Messenger Service?! Meinst du das ISDN-Gateway? Das meinte ich nicht, ich meinte IP!

 

[haefeli]

Antwort von Gigaset

Wir haben das Problem gestern entdeckt und arbeiten noch daran. Wir bitten Sie um ein wenig geduld.

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.

Zusätzliche Informationen erhalten Sie außerdem im Internet unter www.gigaset.com.

Ich wünsche Ihnen abschließend einen angenehmen und erfolgreichen Tag.

 

[sparkie]

Vielleicht solltest du noch mal kontrollieren, ob dein 'handmade firewalling stuff' wirklich keine Problem macht.

mein Problem ist: ich habe kein Problem. Ich kann die Geisteranrufe bis jetzt nicht reproduzieren. Aber die Testanlage, an der diverse Ports nach aussen offen sind laeuft auch noch nicht lange...

 

[fzelle]

Antwort von Gigaset

Wir haben das Problem gestern entdeckt und arbeiten noch daran. Wir bitten Sie um ein wenig geduld.

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.

Zusätzliche Informationen erhalten Sie außerdem im Internet unter www.gigaset.com.

Ich wünsche Ihnen abschließend einen angenehmen und erfolgreichen Tag.

Das wäre ja mal was.
Aber seit ich meine Portrange auf "von 5061-.." eingestellt habe gab es auch kein klingeln mehr.
Kann aber auch zufall sein. Ich hatte vorher auch mal einfach in den browser die adresse 104.219.234.226 / stop_this_shit eingegeben ;-) Ist ja schließlich ein webserver.