Всем привет!

Есть АТС Panasonic NCP500

На системный телефон KX-NT343 вдруг начали приходить "фантомные вызовы" от номеров 1001, 009 и др.

Можно как-то это вылечить ?

Вылечить то можно. А зачем? :rolleyes: За "входящие" денег не берут.. ;)

Вылечить то можно. А зачем? :rolleyes: За "входящие" денег не берут.. ;)

Они блокируют работу телефона, тк идут практически непрерывно.
В результате нужные звонки не проходят

И это не входящие, а похоже на вирус который сканирует открытые sip сервера.

Но kx-nt343 не sip телефон, значит проблема на ncp500

Они блокируют работу телефона, тк идут практически непрерывно.
В результате нужные звонки не проходят

И это не входящие, а похоже на вирус который сканирует открытые sip сервера.

Но kx-nt343 не sip телефон, значит проблема на ncp500
НШ шутит, но это не вирус, это дело рук человеческих, собственно, это задача сисадмина - сделать правильные сетевые настройки.

НШ шутит, но это не вирус, это дело рук человеческих, собственно, это задача сисадмина - сделать правильные сетевые настройки.

Можно просто тыкнуть в нужном направлении ?
Весь день убил на поиск решения

Вашу IP-АТС Panasonic KX-NCP500 - "ВЗЛОМАЛИ".

1. если у АТС есть внешний IP-адрес, то "Злоумышленники" получили SIP регистрацию на Вашей АТС.

2. Дальше они начинают Перебирать все цифры и комбинации (т.к. они НЕ знают ГДЕ стоит АТС, в смысле какая Страна и какой Код выхода на МЕЖГОРОД ) 1, 10, 100, 1000, ... Когда они доберутся до 9, 8 ...
будет понятно, что открыта МЕЖДУНАРОДНАЯ Связь. Будут НЕ состоявшиеся вызовы в Африканские Страны ...
Перебором занимается Специальный Бот - SIP Сервер.

3. В ближайшие выходные (Ночь Пятница-Суббота, суббота и Воскресенье) будет Вал звонков Марокко, Алжир, Тунис, Пакистан, Турция ...
А в конце месяца ждите Счёт на Дцать тысяч рублей.

Наверно у Вас неправильно настроен NAT для работы АТС Panasonic.

Никакой Мурзилки - с Рекомендациями по предотвращению Взлома - НЕТ, т.к. там, опосредовано, описывались бы Способы "Взлома" и и способы Устранения.
Но Сетевое Оборудование у Всех разное, настройки разные, АТС разные.

P.S. Недавно затыкал Дырку в SIP-DECT Panasonic KX-TGP600, а так же в других SIP железках Panasonic, например Panasonic KX-UT1XX есть Специальная настройка
«Безопасность» включите «Разрешенный SSAF (фильтр адреса SIP ресурса)»
https://www.mango-office.ru/support/tekhnicheskaya_podderzhka/sip_oborudovanie/panasonic/panasonic_kx_ut136/zashchita_ot_spam_zvonkov_panasonic_kx_ut1xx/

https://support.sipuni.com/hc/ru/articles/115004563628-%D0%9F%D0%BE%D1%81%D1%82%D0%BE%D1%80%D0%BE%D0%BD%D 0%BD%D0%B8%D0%B5-%D0%B7%D0%B2%D0%BE%D0%BD%D0%BA%D0%B8-%D1%81-%D0%BD%D0%BE%D0%BC%D0%B5%D1%80%D0%B0-1001

Можно просто тыкнуть в нужном направлении ?
Весь день убил на поиск решения
Администратору сети ткните - какое ещё направление, разве не понятно?

Вашу IP-АТС Panasonic KX-NCP500 - "ВЗЛОМАЛИ".

1. если у АТС есть внешний IP-адрес, то "Злоумышленники" получили SIP регистрацию на Вашей АТС.

2. Дальше они начинают Перебирать все цифры и комбинации (т.к. они НЕ знают ГДЕ стоит АТС, в смысле какая Страна и какой Код выхода на МЕЖГОРОД ) 1, 10, 100, 1000, ... Когда они доберутся до 9, 8 ...
будет понятно, что открыта МЕЖДУНАРОДНАЯ Связь. Будут НЕ состоявшиеся вызовы в Африканские Страны ...
Перебором занимается Специальный Бот - SIP Сервер.

3. В ближайшие выходные (Ночь Пятница-Суббота, суббота и Воскресенье) будет Вал звонков Марокко, Алжир, Тунис, Пакистан, Турция ...
А в конце месяца ждите Счёт на Дцать тысяч рублей.

Наверно у Вас неправильно настроен NAT для работы АТС Panasonic.

Никакой Мурзилки - с Рекомендациями по предотвращению Взлома - НЕТ, т.к. там, опосредовано, описывались бы Способы "Взлома" и и способы Устранения.
Но Сетевое Оборудование у Всех разное, настройки разные, АТС разные.

P.S. Недавно затыкал Дырку в SIP-DECT Panasonic KX-TGP600, а так же в других SIP железках Panasonic, например Panasonic KX-UT1XX есть Специальная настройка
«Безопасность» включите «Разрешенный SSAF (фильтр адреса SIP ресурса)»
https://www.mango-office.ru/support/tekhnicheskaya_podderzhka/sip_oborudovanie/panasonic/panasonic_kx_ut136/zashchita_ot_spam_zvonkov_panasonic_kx_ut1xx/

https://support.sipuni.com/hc/ru/articles/115004563628-%D0%9F%D0%BE%D1%81%D1%82%D0%BE%D1%80%D0%BE%D0%BD%D 0%BD%D0%B8%D0%B5-%D0%B7%D0%B2%D0%BE%D0%BD%D0%BA%D0%B8-%D1%81-%D0%BD%D0%BE%D0%BC%D0%B5%D1%80%D0%B0-1001

Я не первый день в армии :)

Первое что сделал - проверил проброс портов в сторону АТС - его нет. Вирус сидит где-то в сети и их системный администратор занимается поиском, но он в АТС вообще никак

На SIP телефонах я обычно отключаю звонки без регистрации (Direct IP calls) или меняю стандартный клиентский порт с 5060 на 6060.

Вашу IP-АТС Panasonic KX-NCP500 - "ВЗЛОМАЛИ".

1. если у АТС есть внешний IP-адрес, то "Злоумышленники" получили SIP регистрацию на Вашей АТС.

И не взломали, и не регистрация. Просто входящие звонки.

И не взломали, и не регистрация. Просто входящие звонки.

Справка: Спам звонки – это, как правило, входящие звонки с номеров 1000, 5550000, admin, 1001, 100, administrator, и т.п., которые поступают на IP телефон в любое время суток для блокировки Вашего телефонного номера, подключения к Вашему телефону для совершения бесплатных звонков, сканирования для выявления SIP телефонов с последующим их взломов, получения логина и пароля от SIP учетной записи для совершения массовых звонков, просто для баловства и для многих других неправомерных действий.

Всё может быть. Может у Школьников был Урок Информатики и они просто Баловались !

Я не первый день в армии :)
Соболезную.
Первое что сделал - проверил проброс портов в сторону АТС - его нет.
Инспектор SIP тихонько улыбнулся в стороне.
Вирус сидит где-то в сети и их системный администратор занимается поиском,
Найдете, пришлите мне, буду нелояльным клиентам запускать.
но он в АТС вообще никак
Эту АТС нельзя заразить вирусом, вообще никак.
или меняю стандартный клиентский порт с 5060 на 6060.
Может помочь, но ненадолго.

Если нет проброса IP портов наружу, и снаружи на ваш внутренний IP. То может у вас внутри сети, в компании, появился "ваш друг" который тестирует способы взлома? :D

Поделюсь опытом, расскажу про моё "расследование" аналогичного "Взлома" в одной крупной компании, без упоминания названия.

У них несколько "Офисов", объединение которых осуществляет Провайдер, VLAN-ами с "серыми" IP адресами. Провайдера "Сев.... Телеком". Сиськами рулил - Сам Провайдер, Пробросы делал Провайдер, для своего же удобства Админ-я Мини АТС, у которых не было SIP в принципе (Только LAN для Админ), взломали же Panasonic KX-TDE600 с SIP UT-1xx и NT телефонами Panasonic.
Было много SIP регистраций Телефонов - НЕ удалённых из Настроек, Заменяли на NT телефоны, UT-1хх аппарат убирали в Шкаф. На эти SIP Аккаунты подсаживались "взломщики" и от Их имени и № делались звонки на 9-8-10-хххх... COS-ы на АТС были без Ограничения МЕЖДУНАРОДНОЙ связи.
Накануне были непонятные короткие звонков, а в выходные - было уже много длинных Звонков в Африканские страны, это уже было видно в Биллинге АТС. Провайдер увидел непонятные звонки в Выходные, сообщил в Офис только в Понедельник, т.к. в Выходные НЕ работают, а потом они схватились за голову, но Счета оплатили.

Чем закончилось Расследование - Х.З., т.к. в настройки CISCO меня не подпустили, они сами разбирались.
Похоже это у Провайдера были дыры в "Сером Интернете".

Бывает не в сером.
Из своей практики. Контора элэсгэ (что-то близке к люфтганзе), Цветной бульвар. ТДЕ200. К некоторым провайдерам сделан сип, на роутере маппинг, при этом источник ("соурсе") жёстко определён. То есть хрен какой-нить инвайт пропустит слева или справа. Но есть филиал. В филиал сделан вэпээн, но с совершенной другим виланом. То есть из филиала АТС не видна. И наоборот тоже. В филиале жестокость файервола была на порядок ниже, в результате чего до порта 35060 пидорасы всё-таки добрались. Через какую задницу, даже не догадываюсь. Ихний местный сис тоже. Я не хацкер, поэтому мне неведомо. Но, видимо, дыра в жопе всё равно есть. Плохо заткнутая.
Ужесточили файервол в филиале до левела "как у главных", всё стало нормально.

какая интересная ветка получается

Все решилось заменой роутера

Видимо долбили с наружи через дыру ,тк проброса портов не стояло, но nmap показал открытые 5060 и 5061

Я подключился как INSTALLER через UCM, но так и не нашел где настраиваются SIP параметры станции.

Пытался сделать по инструкции настройки sip транков, но прямо на первых шагах требует ключи активации.

Пытался сделать по инструкции настройки sip транков, но прямо на первых шагах требует ключи активации.
Да, для программирования IP нужны ключи активации.

Да, для программирования IP нужны ключи активации.

это ад. где их взять то ?

Если вы не смогли просто отключить SIP ALG на роутере, к станции подходить я вам вообще не советую. А так по сабжу, лекарство есть в интернете.

Бывает не в сером.
Из своей практики. .......
......
......
Ужесточили файервол в филиале до левела "как у главных", всё стало нормально.

1. У меня на прежнем месте работы, Залезали через Wi-Fi точку - Клиентам делали Халявный Интернет, чтобы НЕ скучно было и Руководятлу, чтобы со Смартфона в Инете Сидеть ...
2. Иногородним Филиалам сделали Выход в Интернет через Центральный Офис, FireWall и т.д. НО, в Филиальские СисьАдмины умудрялись прикрутить Местный Интернет, через Роутер, который настраивали сами, Кто свою Сиську, кто FreeBSD сервер делал ... Бардак был!