<div dir="ltr"><div>Hi Michelle,</div><div><br></div>DISA is not in use. I'll check out the SecAst product you mentioned for rebuilding the server.<div><br></div><div>I'm digging into the logs to get some more information.</div><div><br></div><div>Thanks,</div><div>Steve</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 28, 2015 at 5:30 PM, Michelle Dupuis <span dir="ltr"><<a href="mailto:mdupuis@ocg.ca" target="_blank">mdupuis@ocg.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Do you have DISA setup?  We're seeing lots of attackers running scripts that send digits until they strike a DISA, misconfigured mailbox, etc.  (Assuming it wasn't a stupid employee forwarding an inbound call to a 9xxxxxxx number etc).<br>
<br>
Have a look at SecAst (<a href="http://www.generationd.com" target="_blank">www.generationd.com</a>) - it detects callers sending too many digits, monitors digit dialing speeds, etc. to help identify and block these types of attacks.  The free version is better than nothing (but if you've already suffered one $25k attack then you probably don't mind spending a bit of money).  Or have a look at <a href="http://www.voip-info.org/wiki/view/Asterisk+security" target="_blank">http://www.voip-info.org/wiki/view/Asterisk+security</a> for other ideas.<br>
<br>
There were some (at least one) critical FreePBX weaknesses discovered this summer (you'll find them if you google).  Even if you don't expose the management interface to the internet, don't trust FreePBX security alone.<br>
<br>
-MD-<br>
<br>
My opinions expressed are my own and do not necessarily reflect those of my employer.  However, as an employee of Generation D Systems my opinions are probably biased.<br>
<br>
<br>
<br>
________________________________________<br>
From: <a href="mailto:asterisk-users-bounces@lists.digium.com">asterisk-users-bounces@lists.digium.com</a> <<a href="mailto:asterisk-users-bounces@lists.digium.com">asterisk-users-bounces@lists.digium.com</a>> on behalf of Administrator TOOTAI <<a href="mailto:admin@tootai.net">admin@tootai.net</a>><br>
Sent: Wednesday, January 28, 2015 5:07 PM<br>
To: Asterisk Users List<br>
Subject: Re: [asterisk-users] Investigating international calls fraud<br>
<div class="HOEnZb"><div class="h5"><br>
Le 28/01/2015 22:03, Steven McCann a écrit :<br>
> Hello,<br>
<br>
Hi<br>
<br>
><br>
> I'm investigating a situation where there was a hundreds of minutes of<br>
> calls from an internal SIP extension to an 855 number in Cambodia,<br>
> resulting in a crazy ($25,000+) bill from the phone company. I'm<br>
> investigating, but can anyone provide some feedback on what's happened<br>
> here? I'm investigating how this happened as well as what types of<br>
> arrangements can be made with the phone company (CenturyLink in Texas).<br>
><br>
> Some details:<br>
> * PBX is located in Texas<br>
> * Phone carrier is CenturyLink<br>
> * FreePBX distro running asterisk 1.8.14<br>
> * source SIP extension is Mitel 5212, firmware 08.00.00.04, default<br>
> admin password (argh!). Phone is used by many different people.<br>
><br>
> More PBX setting details:<br>
> * inbound SIP traffic is not allowed through the firewall<br>
> * internal network is not accessed by many<br>
> * FreePBX web interface<br>
><br>
> *Questions I have at this moment:*<br>
> 1) how were the calls placed? Was the Mitel SIP phone hacked somehow?<br>
> Asterisk PBX?<br>
<br>
Check your logs. In the full log with verbosity 3 you can follow how<br>
calls were treated. Also the CDR should give you informations like the<br>
extension(s) who placed those calls<br>
<br>
[...]<br>
<br>
--<br>
Daniel<br>
<br>
--<br>
_____________________________________________________________________<br>
-- Bandwidth and Colocation Provided by <a href="http://www.api-digital.com" target="_blank">http://www.api-digital.com</a> --<br>
New to Asterisk? Join us for a live introductory webinar every Thurs:<br>
               <a href="http://www.asterisk.org/hello" target="_blank">http://www.asterisk.org/hello</a><br>
<br>
asterisk-users mailing list<br>
To UNSUBSCRIBE or update options visit:<br>
   <a href="http://lists.digium.com/mailman/listinfo/asterisk-users" target="_blank">http://lists.digium.com/mailman/listinfo/asterisk-users</a><br>
--<br>
_____________________________________________________________________<br>
-- Bandwidth and Colocation Provided by <a href="http://www.api-digital.com" target="_blank">http://www.api-digital.com</a> --<br>
New to Asterisk? Join us for a live introductory webinar every Thurs:<br>
               <a href="http://www.asterisk.org/hello" target="_blank">http://www.asterisk.org/hello</a><br>
<br>
asterisk-users mailing list<br>
To UNSUBSCRIBE or update options visit:<br>
   <a href="http://lists.digium.com/mailman/listinfo/asterisk-users" target="_blank">http://lists.digium.com/mailman/listinfo/asterisk-users</a><br>
</div></div></blockquote></div><br></div>