我们有一部电话(123)不时响铃,显示看起来像是内部号码(6001),但实际上不是,因为我们不使用这个号码,也不使用这个范围内的任何号码。拿起电话时,您会听到拨号音。
服务器运行 Asterisk 1.4。Master.log 中没有记录任何内容。此电话的通话记录数据记录在数据库中的 CDR 表中。我可以在 dst 字段中看到号码(以及在 clid 和 src 字段中)。当我们接到这样的电话时,我们在表中看不到它。由于 CDR 记录了通话数据,这似乎合乎逻辑,因为没有通话,当您尝试接听时只有拨号音。
电话显示屏显示以下内容:
line 1 & 2 ringing 123
6001
6001
我已经 grep 了 6001 的所有日志和配置文件。消息日志显示了 6001 的许多条目,但奇怪的是,在电话响起时却没有:
NOTICE[22537] chan_sip.c: Failed to authenticate user 6001
另一个号码也发生了这种情况,我可以在消息中找到相同的条目。
问题
- 这里发生了什么事?
- 我如何查看或记录正在发生的事情?因此,当电话铃响起时,我希望在某处看到日志条目。
- 这是黑客行为吗?
更新
电话被更换了,旧电话被移到了我的办公桌上,号码和设置都一样。现在它在另一个局域网上,另一个公共 IP 上,从那时起我就再也没有接到过这些电话。新电话,有新号码,没有接到这些电话,问题就消失了。所以可能是网络上有什么东西,不在我的控制范围内。
更新 2
看Asterisk 鬼叫再试一次……
答案1
1. 嗯...如果该号码的身份验证尝试失败,但您“不时”接到该号码的电话,则有时身份验证尝试可能会成功。尝试通过定期检查asterisk -rx 'sip show peers'该号码来获取注册的 IP 地址。
编辑 (可能是一个更好的想法):电话铃响时,不要挂断,看看asterisk -rx 'core show channels'这次通话使用的是哪个频道。电话可能来自您的网络之外,因为来电显示通常很容易伪造。
2. 提高日志级别logger.conf。
3. 也许。
有趣的是,6001 是 Asterisks Hello World 教程中使用的数字:https://wiki.asterisk.org/wiki/display/AST/Hello+World
答案2
你没有说明你的安装有多大,但如果它很小,请安装免费版安全顾问,并让它监控注册和拨号尝试。首先让它监控 6001 分机 (SIP/6001),然后监控 PBX。根据您的设置,这可能是外部黑客试图寻找 DISA 的分机。6 后跟 001 可能是拨号尝试的开始(6 表示 DISA,后跟 001 表示国际电话的开始)。这也可能是有人正在入侵您的 PBX 并映射您的拨号方案的线索。