ну теперь я на 80% уверен что "дыра" в районе TFTP. Телефон POLYCOM при изменении каких-либо настроек (неважно через web или с клавиатуры) выгружает файл полной конфигурации на TFTP, включая адреса серверов, логины и пароли екстешенов в открытом виде. сервер TFTP прибил и пароли опять все ...

Это, конечно, я понимаю возможностей больше, а вот знаний тут почти по нулям, 99% времени у меня занимает программирование 1С. Я как всегда нахаляву надеялся услышь что-нибудь типа: POLYCOM это враг телефонии с нулевой защитой или TFTP - это зло, или сервера TFTP - это вообще практически трояны, сра...

Ну и +100500 к посту ded : нельзя светить контрольные порты в инет, иначе это как в сауне с дефками без резинок)))) Да закрыты они у меня были, доступ был разрешен только с одного IP и это точно работало, т.к. после того как провайдер поменял IP в нашем офисе я полностью потерял доступ к астериску,...

К своему стыду признаюсь, что пароль которым воспользовались злоумышленники, стоял на моем стационарном телефоне, на котором стояли дефолтные логин и пароль на настройки. Но в логах астериска попыток подбора по этому экстешену практически нет (всего 4 попытки). подобрать за пару попыток его не могли...

Пробой был через 4-жды дырявый модуль Recordings и/или FOP. Закройте вообще доступ на 80-й портдля всех, сканеры обнаруживают сначала freePBX и пробивают его через php inject Потом начинают бомбить на 5060. Если глубоко долбанули - смотрите manager.conf - там доступ должен быть только permit 127.0....

Но не через транки местных городских провайдеров. ну и международные номера - в Сомали всякие и Гондурас - нужно прямо статикой в диалплане отправлять на hangUp сразу. и логично по предоплате международку ставить, не постоплате - даже при наличии взлома попадос на строко дозированную сумму. Еще лог...

alwaysauthreject=yes прописывал сразу, счас поищу как проверить. "просто для сотрудников с удаленным доступом делаете запрет международки" международка нужна всем, все раскиданы по разным офисам в основном офисе только 10 человек, все остальные на удаленке. "четкие локальные deny/perm...

А наверное зря я свой Fail2ban обидел. в ту ночь он более 600 банов выдал, просто за ту пару секунд, которые требовались на реакцию Fail2ban, успевало пройти до 50-ти попыток регистрации. Плюс параллельно работало около 20 "осторожных" сканеров, они делали по три регистрации с паузой в нес...

Так вызовы в итоге совершил валидный внутренний номер ? Да, реальный и только один и только в один поток кстати строка "alwaysauthreject = yes" присутствует То что присутствует это хорошо, а вот работает ли ? Проверяли ? сторок типа [2015-10-03 08:57:45] NOTICE[3102] chan_sip.c: Sending f...

да кстати была еще одна попытка, на другом аппарате, который имел прямой IP. Подобрали 8-ми значный цифровой пароль и прописали обратный вызов. тогда ничего не получилось, т.к. был прописан номер типа 00ХХХХХХХХХ и в то время sip-оператор не принимал такие номера, а сейчас как назло разрешил для сов...