Меня поломали?

[igor.gajsin]

День добрый, глубокомногоуважаемое сообщество.
Продолжаю начатую тему с анализом логов.

Офисная телефония состоит из:
1. фронт-энд сервера астериск: Доступен извне, не содержит добавочных номеров, перенаправляет вызовы на
2. бэк-энд астериск: используется для нужд офисной телефонии, всё общение с внешним миром происходит через фронт-энд астер.
3. avayya: используется для работы колл-центра и частично в качестве офисной телефонии.

Контекст для звонков извне выглядит так:

Код: Выделить всё

[from-sip-external]                                                                                                                                                                                    
exten => _.,1,NoOp(Received incoming SIP connection from unknown peer to ${EXTEN})
exten => _.,n,NoOp(Calleer ID is ${CALLERID(all)} and SIPURI is ${SIPURI})
exten => _.,n,Set(DID=${IF($["${EXTEN:1:2}"=""]?s:${EXTEN})})
exten => _.,n,Goto(s,1)
exten => s,1,GotoIf($["${ALLOW_SIP_ANON}"="yes"]?checklang:noanonymous)
exten => s,n(checklang),GotoIf($["${SIPLANG}"!=""]?setlanguage:from-trunk,${DID},1)
exten => s,n(setlanguage),Set(CHANNEL(language)=${SIPLANG})
exten => s,n,Goto(from-trunk,${DID},1)
exten => s,n(noanonymous),Set(TIMEOUT(absolute)=15)
exten => s,n,Answer
exten => s,n,Wait(2)
exten => s,n,Playback(ss-noservice)
exten => s,n,Playtones(congestion)
exten => s,n,Congestion(5)
exten => h,1,Hangup
exten => i,1,Hangup
exten => t,1,Hangup

при этом в логах есть нормальные записи:

Код: Выделить всё

[2014-03-14 12:46:57] VERBOSE[18601] pbx.c:     -- Executing [9810448702952387@from-sip-external:1] NoOp("SIP/external-ip-00081929", "Received incoming SIP connection from unknown peer to 981044870
2952387") in new stack
[2014-03-14 12:46:57] VERBOSE[18601] pbx.c:     -- Executing [9810448702952387@from-sip-external:2] NoOp("SIP/external-ip-00081929", "Calleer ID is "800" <800> and SIPURI is sip:800@176.31.123.59:5
078") in new stack
[2014-03-14 12:46:57] VERBOSE[18601] pbx.c:     -- Executing [9810448702952387@from-sip-external:3] Set("SIP/external-ip-00081929", "DID=9810448702952387") in new stack
....

тут всё понятно злоумышленник 800 с ip-адреса 176.31.123.59 пытался позвонить в великобританию и обломался. Однако в изобилии представлены и такие логи:

Код: Выделить всё

[2014-03-14 04:06:49] VERBOSE[18109] pbx.c:     -- Executing [45300@from-sip-external:1] NoOp("SIP/external-ip-00073f4d", "Received incoming SIP connection from unknown peer to 45300") in new stack
[2014-03-14 04:06:49] VERBOSE[18109] pbx.c:     -- Executing [45300@from-sip-external:2] NoOp("SIP/external-ip-00073f4d", "Calleer ID is "45300" <45300> and SIPURI is sip:45300@external-ip") in new stack
[2014-03-14 04:06:49] VERBOSE[18109] pbx.c:     -- Executing [45300@from-sip-external:3] Set("SIP/external-ip-00073f4d", "DID=45300") in new stack
[2014-03-14 04:06:49] VERBOSE[18109] pbx.c:     -- Executing [45300@from-sip-external:4] Goto("SIP/external-ip-00073f4d", "s,1") in new stack

external-ip --- это ip адрес сетевой карты, используемой для связи с внешним миром
т.ею получается, что злоумышлинник тут 45300@external-ip. Но на этом сервере нету вообще никаких добавочных номеров и с фига ли ему пытаться звонить самому на себя?

Прошу пояснить что обозначают такие странные записи.

[ded]

Игорь, Вы не до конца понимаете как работает протокол SIP.
Если есть сервер Астериск, то он хоть на реальном адресе, хоть за НАТом, но выставляет свой UDP порт 5060. Этот порт видят сканеры, которые сканируют обширные пространства в глобальных сетях в поисках ламеров, и создают базы данных для взлома. Попытки таких вызовов Вы и наблюдаете. Это не вызов самого себя, как Вам кажется, эти логи 7-го уровня модели OSI, а не 3-го, т.е. не результат tcpdump port 5060, гдек всё будет более менее объективно.
Посмотрите - http://forum.asterisk.ru/viewtopic.php?f=3&t=2637