Всем привет!

Такой случай, может кто подскажет.

В тарификаторе вижу строку со звонком в межгород:

Дата_______Время__СО-линия__Длит-ть__Внут.номер__...
04.02.2013__15.04___7227______0:31_____948________ ...

Вроде бы ничего необычного, но номер этот (948) я физически отключил ещё в январе (то есть на данный момент номер идёт с АТС, разделан на кроссовой панели, но дальше никуда не подключен).

Вопрос: как такое может быть?

...Вопрос: как такое может быть?
Как известно, "..чудес не бывает...". Ищите глюки. (Оффсет, альтерн. номер, второй номер на порту, или кто с кросса набирал, и где он в НПЛ...) Вариантов - масса.

Заблокируйте для начала этот отключенный.:)

Как известно, "..чудес не бывает...". Ищите глюки. (Оффсет, альтерн. номер, второй номер на порту, или кто с кросса набирал, и где он в НПЛ...) Вариантов - масса.

Прямо-таки масса?... Признаюсь, за такой крупный АТС сел недавно (так сложились обстоятельства). До этого имел дело только с небольшими офисными АТС Panasonic.
Очень неприятно узать, что у пользователей есть масса возможностей позвонить в межгород так, что в отчётах высветится чужой номер.

По вашим советам.

C оффсет-фильтрами дел раньше не имел. Но тут (root,0,0,7) ничего подходящего не вижу. Признаться, тут вообще ничего полезного не вижу. Только какие-то глупые записи от бывших телефонистов, видимо.
Как, например, должен выглядеть оффсет фильтр, чтоб могло случиться вышеописанное?

С альтернативными номерами тоже не работал.. Однако у нас в АТС они не заданы:
(root,5,3) c 0 по 63 записи одинаковые
complete number (y/n) ? n
number - --

Далее, второй номер на порту. Посмотрел в NPL :

from dial#____to dial#____type____index#/shelf,slot,ckt/node#
948__________948__________SLT_____2,18,1
в phys_loc:

shelf,slot,ckt____type____dial#____port_db#____sho rt&full names
2/18/1____________16S______948______---________blank:blank
Других номеров на 2/18/1 нет.

Кросс у нас опечатан. Кроме меня туда доступа ни у кого нет.

Может, в связи с моими слабыми познаниями в этой АТС, дадите несколько дельных советов? :)

Заблокируйте для начала этот отключенный.:)

Блокировать пока не буду. Посмотрю на повторяемость всплытия этого номера.

1.Посмотрите в SMDR полную исходную строку с флагами и транками, может там что нароется. (если запись двухстрочная то, естественно смотрите обе строки).
2.Сделайте контрольный набор с этого номера, сравните результат.
3.Проверьте переадресации на этом номере. Если протокол на внешке ETSI и параметр Send_Redirecting Number установлен, то вы увидите этот номер в записи.
Если тут всё чисто, то надо ждать повтора ситуации.... или покупать шаманский бубен :). (Не иначе как Барабашка шалит...)

Почитал в руководстве главу "Журнал подробных сведений о вызовах - SMDR"...
Признаться, так и не понял, где можно "посмотреть в SMDR полную исходную строку с флагами и транками"... :confused:
К тому же, я так понял, журнал можно как-то включить на просмотр, но только текущие звонки. Или я неправильно понял?
... или покупать шаманский бубен :). (Не иначе как Барабашка шалит...)

Значит, чудеса всё-таки бывают? :)

Кстати, насчёт чудес.. Когда я только устроился на это место - руководитель отдела безопастности настоятельно рекомендовал мне сменить пароли на АТС, убеждая тем, что зная их, можно как-то извне попасть в систему и пошалить (с подменой номеров и т.д.)... Сменить-то я пароли сменил... Но вот не даёт покоя мысль, что в АТС есть возможность доступа извне (в обход PI и операторского аппарата). Что скажете, умудрённые опытом уважаемые коллеги - разве такое возможно?

Что скажете, умудрённые опытом уважаемые коллеги - разве такое возможно? Увы, да!
1. Может один из номеров быть "оторван" от порта и сделан единственным или вторым номером общей библиотеки, в которой прописано соединиться с модемом.
2. В ночном режиме:) когда вас нет, можно установить переадресацию звонков с административного телефона на модем.
Это первое, что пришло в голову.

Увы, да!
1. Может один из номеров быть "оторван" от порта и сделан единственным или вторым номером общей библиотеки, в которой прописано соединиться с модемом.
2. В ночном режиме:) когда вас нет, можно установить переадресацию звонков с административного телефона на модем.
Это первое, что пришло в голову.
Всё это легко проверяется и удаляется ;)

...Значит, чудеса всё-таки бывают? :)...
Да, у попов и шаманов :D
А у нас (технарей) - это неисправность, которую можно найти, главное знать где и как искать. ;)

Почитал в руководстве главу "Журнал подробных сведений о вызовах - SMDR"...
Признаться, так и не понял, где можно "посмотреть в SMDR полную исходную строку с флагами и транками"... :confused:
К тому же, я так понял, журнал можно как-то включить на просмотр, но только текущие звонки. Или я неправильно понял?

1.Как, чем и куда у вас пишется лог SMDR ?
2. Можно включить просмотр, перенаправив SMDR на свой порт с включенной терминалкой. Или отключить программу сбора SMDR и подключиться терминалкой к этому порту.

...в обход PI и операторского аппарата...
Не все так просто. Не пугайтесь.
По внутренним номерам - в косах отключается доступ к модему.
С внешки проверяется вход на библиотеки или модем (где может находится ПВД на модем).
Ну и пароли, естественно, не зря есть :)
Короче, суть в том, что если вход с внешки не организован специально, то по умолчанию его нет.
А вот проверка "дырок" - это уже задача админа :rolleyes:...

Вариант может быть использование функции приоритета руководителя.
Т.е. могли звонить с другого внутреннего, дабы осуществить подмену или звонить через DISA по двух проводкам или через IRSS по потоку.
(в SMDR при этом по моему как раз номер подменный отображается в данном случае 948 но надо проверить сначала)

Как избежать(любое действие или все):
Смените пароль (pass_code) в настройках 948 порта
Заблокируйте EXEC_Priv во всех cos
Проверьте, есть ли DISA режим на 2-х линиях
Ну и конечно, как рекомендовали коллеги заблокируйте порт. (может и не помочь, т.к. это права а блокировка скорее физики - проверяйте)

Если хочется поймать, то не отключайте пока ничего. И:
Вычислить злоумышлиника по функции приоритета руководителя наверное можно заменив в NPL номер функции с индексом 80 (например #170 и др с этим индексом), сделав этот номер номером какого то неиспользуемого порта. С него поставьте переадресацию на модем. Далее лучше тарификатором следить за внутренними вызовами на Модем. (для SMDR (INTERNAL_SMDR_IN_SYSTEM (Y/N)- Y SFE,2) внутренние звонки не забудьте включить и длительность уменьшите до минимума, а то может не зафиксироваться если быстро поймет подвох и трубку бросит)
Может коллеги поправят, если забыл чего. Опять таки это только один из вариантов.
В SMDR вроде конечный номер будет отображаться, а не с которого переадресация.
Главное, чтоб злоумышленник не в зеркале был ) А то научим плохому ;)