<div dir="ltr">Hmm the calls are made during the day (and sometimes very early in the morning). Right now it looks like someone actually made these calls. If that is the case it's somewhat comforting to know the system wasn't compromised. However, the $25,000 phone bill still remains. Yikes. $6.25 per minute to Cambodia seems quite steep to me.</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 28, 2015 at 6:07 PM, Duncan Turnbull <span dir="ltr"><<a href="mailto:duncan@e-simple.co.nz" target="_blank">duncan@e-simple.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 29 Jan 2015, at 11:07, Administrator TOOTAI wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Le 28/01/2015 22:03, Steven McCann a écrit :<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
</blockquote>
<br>
Hi<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I'm investigating a situation where there was a hundreds of minutes of<br>
calls from an internal SIP extension to an 855 number in Cambodia,<br>
resulting in a crazy ($25,000+) bill from the phone company. I'm<br>
investigating, but can anyone provide some feedback on what's happened<br>
here? I'm investigating how this happened as well as what types of<br>
arrangements can be made with the phone company (CenturyLink in Texas).<br>
</blockquote></blockquote>
<br></span>
Are you sure the calls weren't actually made internally? Can you see anything to suggest the ip or mac address of the phone changed? Because for someone to take advantage of the calls (assuming they don't get cash out of ringing Cambodia) they needed to proxy through to that phone line, which maybe required them leaving some sort of device on the network. Otherwise I am guessing they got onto your PBX somehow.<br>
<br>
As suggested logs are important, including DHCP, syslog to see if anything unusual happened.<br>
<br>
Did the calls run all day or just at night when no one was around?<br>
Was there more than one call up at a time? (how many calls does the Mitel phone support?)<br>
How long were the calls? Were they varying lengths (more human like) and did they just redial as soon as they were dropped? Or were they automated to trigger as much cost as possible e.g. if the 1st minute is the most expensive then you get a lot of short calls.<br>
<br>
Good luck<div class="HOEnZb"><div class="h5"><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Some details:<br>
* PBX is located in Texas<br>
* Phone carrier is CenturyLink<br>
* FreePBX distro running asterisk 1.8.14<br>
* source SIP extension is Mitel 5212, firmware 08.00.00.04, default<br>
admin password (argh!). Phone is used by many different people.<br>
<br>
More PBX setting details:<br>
* inbound SIP traffic is not allowed through the firewall<br>
* internal network is not accessed by many<br>
* FreePBX web interface<br>
<br>
*Questions I have at this moment:*<br>
1) how were the calls placed? Was the Mitel SIP phone hacked somehow?<br>
Asterisk PBX?<br>
</blockquote>
<br>
Check your logs. In the full log with verbosity 3 you can follow how calls were treated. Also the CDR should give you informations like the extension(s) who placed those calls<br>
<br>
[...]<br>
<br>
-- <br>
Daniel<br>
<br>
-- <br>
______________________________<u></u>______________________________<u></u>_________<br>
-- Bandwidth and Colocation Provided by <a href="http://www.api-digital.com" target="_blank">http://www.api-digital.com</a> --<br>
New to Asterisk? Join us for a live introductory webinar every Thurs:<br>
           <a href="http://www.asterisk.org/hello" target="_blank">http://www.asterisk.org/hello</a><br>
<br>
asterisk-users mailing list<br>
To UNSUBSCRIBE or update options visit:<br>
<a href="http://lists.digium.com/mailman/listinfo/asterisk-users" target="_blank">http://lists.digium.com/<u></u>mailman/listinfo/asterisk-<u></u>users</a><br>
</blockquote>
<br>
-- <br>
______________________________<u></u>______________________________<u></u>_________<br>
-- Bandwidth and Colocation Provided by <a href="http://www.api-digital.com" target="_blank">http://www.api-digital.com</a> --<br>
New to Asterisk? Join us for a live introductory webinar every Thurs:<br>
              <a href="http://www.asterisk.org/hello" target="_blank">http://www.asterisk.org/hello</a><br>
<br>
asterisk-users mailing list<br>
To UNSUBSCRIBE or update options visit:<br>
  <a href="http://lists.digium.com/mailman/listinfo/asterisk-users" target="_blank">http://lists.digium.com/<u></u>mailman/listinfo/asterisk-<u></u>users</a></div></div></blockquote></div><br></div>