Сейчас необходимо провести анализ как мои денюшки утекли и каким образом злоумышленники получили доступ к моей телефонии. Как утвержает провайдер - звонки совершались с моей АТС.
Оговорюсь сразу - секурность АТС на зиком уровне, т.к. находится в проектируемом состоянии и не вышла в продакшн и тем не мение мы имеем.
Роутер с проброшенными rtp портами, портом 5068(сигнализация telphin), 5060 моя сигнализация.
PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER: extensions.conf
[extercom]
exten => _XXXXXX,1,Dial(SIP/addpac/${EXTEN},,tT)
exten => _8X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)
exten => _000X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)
exten => _XXXXXX,1,Dial(SIP/addpac/${EXTEN},,tT)
exten => _8X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)
exten => _000X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)
PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER: sip.conf
[defaults](!)
deny=0.0.0.0/0.0.0.0
permit=192.168.1.0/255.255.0.0
type = friend
qualify = yes
canreinvite = no
nat=yes
rxgain=3; увеличение громкости
txgain=3; увеличение громкости
host = dynamic
callgroup = 1
pickupgroup = 1
dtmfmode=rfc2833
disallow=all
allow=ulaw
context=default
[100](defaults)
secret = простой пароль
callerid = "Andrey P"<100>
deny=0.0.0.0/0.0.0.0
permit=192.168.1.0/255.255.0.0
type = friend
qualify = yes
canreinvite = no
nat=yes
rxgain=3; увеличение громкости
txgain=3; увеличение громкости
host = dynamic
callgroup = 1
pickupgroup = 1
dtmfmode=rfc2833
disallow=all
allow=ulaw
context=default
[100](defaults)
secret = простой пароль
callerid = "Andrey P"<100>
лог астериска за этот период+25270611000: Somalia - Special Services
+381608013823: Serbia - Mobile Vipnet
+23221340000: SIerra Leone - Special Services
В итоге имеет клиентов которые коннектятся только из локалки и диалплан где, вроде, нет возможности выйти на эти номера.
Судя по ip который пробовал коннектиться - саудовская аравия, но скорее всего это прокси.
Собственно прошу помощи в анализе ситуации, а конкретнее каким образом меня взломали?