<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:initial;
        panose-1:0 0 0 0 0 0 0 0 0 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
p.msochpdefault, li.msochpdefault, div.msochpdefault
        {mso-style-name:msochpdefault;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
p.msochpdefault1, li.msochpdefault1, div.msochpdefault1
        {mso-style-name:msochpdefault1;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Calibri",sans-serif;}
span.begin-antispam-voting-links
        {mso-style-name:begin-antispam-voting-links;}
span.end-antispam-voting-links
        {mso-style-name:end-antispam-voting-links;}
span.EmailStyle22
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle23
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body bgcolor="white" lang="EN-US" link="#000000" vlink="#000000">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I took a look for that, Mysql running but blocked in the firewall.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I do have a web gui but its hides the passwords + has a single login for admin with complex password.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Even if they hacked the web site, they have no way of getting the passwords my configs are static in the asterisk folder.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">SSH is blocked.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Logs do not show any http access, secure or any other fingerprints.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I am going to honeypot this box to see if I can capture there invites.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">John<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Xaccel<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> asterisk-users [mailto:asterisk-users-bounces@lists.digium.com]
<b>On Behalf Of </b>Dovid Bender<br>
<b>Sent:</b> Sunday, June 16, 2019 6:59 PM<br>
<b>To:</b> Asterisk Users Mailing List - Non-Commercial Discussion <asterisk-users@lists.digium.com><br>
<b>Subject:</b> Re: [asterisk-users] Hacking<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div id="response_container_BBPPID">
<div name="BB10" id="BB10_response_div_BBPPID">
<p class="MsoNormal"><span style="font-family:"initial",serif">John,<o:p></o:p></span></p>
</div>
<div name="BB10" id="BB10_response_div_BBPPID">
<p class="MsoNormal"><span style="font-family:"initial",serif"><o:p> </o:p></span></p>
</div>
<div name="BB10" id="BB10_response_div_BBPPID">
<p class="MsoNormal"><span style="font-family:"initial",serif">There are a lot of factors at play for instance are you using a gui that has a known vlun? Is there mysql running on the box with a simple password? Perhaps they didnt hack your PBX but they comprised
 a SIP phone  and once they had the credentials  they made calls? Do you have a provisioning system?<o:p></o:p></span></p>
</div>
<div name="BB10" id="BB10_response_div_BBPPID">
<p class="MsoNormal"><span style="font-family:"initial",serif"><o:p> </o:p></span></p>
</div>
<div name="BB10" id="BB10_response_div_BBPPID">
<p class="MsoNormal"><span style="font-family:"initial",serif">We have seen all of the above. Most of the compromises we are seeing these days is either via a Provisioning server or phones that are accessible on the internet with weak passwords <o:p></o:p></span></p>
</div>
<div name="BB10" id="BB10_response_div_BBPPID">
<p class="MsoNormal"><span style="font-family:"initial",serif"><o:p> </o:p></span></p>
</div>
<div name="BB10" id="BB10_response_div_BBPPID">
<p class="MsoNormal"><span style="font-family:"initial",serif"><o:p> </o:p></span></p>
</div>
<div name="BB10" id="response_div_spacer_BBPPID">
<p class="MsoNormal"><span style="font-family:"initial",serif"><o:p> </o:p></span></p>
</div>
<div name="BB10" id="blackberry_signature_BBPPID">
<div name="BB10" id="_signaturePlaceholder_BBPPID">
<p><span style="font-family:"initial",serif">Regards,<o:p></o:p></span></p>
<p><span style="font-family:"initial",serif">Dovid<o:p></o:p></span></p>
</div>
</div>
</div>
<div id="_original_msg_header_BBPPID">
<table class="MsoNormalTable" border="0" cellpadding="0" width="100%" style="width:100.0%;background:white">
<tbody>
<tr>
<td style="padding:.75pt .75pt .75pt .75pt">
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in;border-image: initial">
<div id="from">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">
<a href="mailto:john@xaccel.net">john@xaccel.net</a><o:p></o:p></span></p>
</div>
<div id="sent">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">Sent:</span></b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> June 16, 2019 18:37<o:p></o:p></span></p>
</div>
<div id="to">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">To:</span></b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">
<a href="mailto:asterisk-users@lists.digium.com">asterisk-users@lists.digium.com</a><o:p></o:p></span></p>
</div>
<div id="reply_to">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">Reply-to:</span></b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">
<a href="mailto:asterisk-users@lists.digium.com">asterisk-users@lists.digium.com</a><o:p></o:p></span></p>
</div>
<div id="subject">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">Subject:</span></b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> [asterisk-users] Hacking<o:p></o:p></span></p>
</div>
</div>
</td>
</tr>
</tbody>
</table>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div name="BB10">
<div id="ssc141219">
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Anyone know how someone can hack an asterisk box and register with every single account on the box.<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">This box only has 3 accounts, with very complex passwords. Have VoIP blacklist setup and fail2ban…<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">The hackers were able to make 2 calls to Cuba before my alerting system texted me.<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">I am running asterisk 16.3 with PJSIP.<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">This is my only box open to the outside world, a requirement for this one customer.<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Looked into my logs… can't find anything out of the ordinary.<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Any ideas ?<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt"><o:p> </o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">  Contact:  <Aor/ContactUri..............................> <Hash....> <Status> <RTT(ms)..><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">==========================================================================================<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">  Contact:  12120001001/sip:<a href="mailto:12120001001@5.79.64.23"><u><span style="color:blue">12120001001@5.79.64.23</span></u></a>:9227    ee80678930 NonQual         nan<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">  Contact:  848842405/sip:
<a href="mailto:848842405@5.79.64.23"><u><span style="color:blue">848842405@5.79.64.23</span></u></a>:9227                  031ed703ba NonQual         nan<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">  Contact:  848842405/sip:
<a href="mailto:848842405@5.79.64.23"><u><span style="color:blue">848842405@5.79.64.23</span></u></a>:9227                  031ed703ba NonQual         nan<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">  Contact:  ghbhhm0000/sip:<a href="mailto:ghbhhm0000@5.79.64.23"><u><span style="color:blue">ghbhhm0000@5.79.64.23</span></u></a>:9227      959fc8fbf4 NonQual         nan<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">  Contact:  ghbhhm0000/sip:<a href="mailto:ghbhhm0000@5.79.64.23"><u><span style="color:blue">ghbhhm0000@5.79.64.23</span></u></a>:9227      959fc8fbf4 NonQual         nan<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">  Contact:  ghbhhm0000/sip:<a href="mailto:ghbhhm0000@5.79.64.23"><u><span style="color:blue">ghbhhm0000@5.79.64.23</span></u></a>:9228      d7bf838918 NonQual         nan<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">  Contact:  ghbhhm0000/sip:<a href="mailto:ghbhhm0000@5.79.64.23"><u><span style="color:blue">ghbhhm0000@5.79.64.23</span></u></a>:9228      d7bf838918 NonQual         nan<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Any helps is much appreciated.<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">John Bittner<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">CTO<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><img border="0" width="172" height="47" id="Picture_x0020_1" src="cid:image001.png@01D52477.101027A0" alt="xaccellogoemail"><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">380 US Highway 46, Suite 500<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Totowa, NJ 07512<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Phone:
<a href="tel:2018062602,2405"><u><span style="color:blue">201.806.2602 x2405</span></u></a><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Fax:       <a href="tel:2018062604"><u><span style="color:blue">201.806.2604</span></u></a><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Cell:      
<a href="tel:9733901090"><u><span style="color:blue">973.390.1090</span></u></a><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><a href="http://www.xaccel.net/"><u><span style="color:blue">www.xaccel.net</span></u></a><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><i><span style="font-size:7.5pt;color:gray">CONFIDENTIALITY NOTICE:<br>
This e-mail message, including any attachments, is for the sole use of the intended recipient(s) and may contain confidential<br>
and privileged information which should not be shared or forwarded. Any unauthorized review, use, disclosure or distribution<br>
is prohibited. If you are not the intended recipient, please contact the sender by reply e-mail and destroy all copies of the e-mail.</span></i></b><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
</div>
</div>
</div>
<div>
<div>
<div class="MsoNormal" align="center" style="text-align:center"><span style="font-size:13.5pt;color:black;background:white">
<hr size="2" width="100%" align="center">
</span></div>
<p class="MsoNormal"><span style="color:black;background:white"><br>
<br>
Teach Canit xAntispam if this mail is spam:<br>
<a href="http://mx1.xantispam.net/canit/b.php?c=s&i=020pz0aHc&m=a5b99ef03d9e&rlm=xaccel-net"><u><span style="color:blue">Spam</span></u></a><br>
<a href="http://mx1.xantispam.net/canit/b.php?c=n&i=020pz0aHc&m=a5b99ef03d9e&rlm=xaccel-net"><u><span style="color:blue">Not spam</span></u></a><br>
<a href="http://mx1.xantispam.net/canit/b.php?c=f&i=020pz0aHc&m=a5b99ef03d9e&rlm=xaccel-net"><u><span style="color:blue">Forget previous vote</span></u></a></span><span style="font-size:13.5pt;color:black;background:white">
</span><o:p></o:p></p>
</div>
</div>
</div>
</body>
</html>