FreePBX Spam-Anrufe

  • Hallo,


    Ich habe eine FreePBX Telefonanlage auf meinem NetCup V-Server(KVM-Server), und folgendes Problem:


    Ich empange wellenartige Spam-Anrufe, wenn man diese nicht annimmt, hört es gamnz lange nicht mehr auf zu klingeln. Bei den Anrufen handelt es sich NICHT um Festnetzanrufe, sondern um sogenannte IP-Calls. Im CDR sehe ich keine Quell IP-Adressen, weshalb ich auf ein Programm "Zusammenschnitt" aus Wireshark und Putty (bzw. plink von putty) welches Wireshark über SSH nutzen lässt.


    (Problem ist hier, dass meine gesamte 100ER DSL Leitung hierfür beansprucht wird, kann man evtl einen Limit einbauen (aber diese Sache ist erstmal nebensächlich))



    Dort habe ich zuerst festgestellt, dass diese Anrufe von einem Programm namens "SipCLI" stammen, siehe https://www.kaplansoft.com/sipcli/


    Bei diesem Programm gibt man nur IP oder Rufnummer ein, und es wird dann ein "Anruf starten" Befehl gesendet, das wars.

    Deshalb klingelt es dann auch und hört eine weile lang nicht mehr auf, und wenn man diesen "Anruf" annimmt, werden keine RTP Pakete (Sprache) gesendet oder empfangen, auch kein "Besetztton" oder Meldung, dass der gegenüber "Aufgelegt" hat.


    Mit diesem Programm lassen sich auch noch andere Sachen machen, aber damit habe ich mich nicht ausseinendergesetzt.



    Nach weiterem längeren forschen habe ich dann festgestellt, dass es alles "ausländische" IP Adressen sind es nicht immer das gleiche Land ist (urtace.de), und habe festgestellt, dass auch die IP Selber nciht immer die gleiche ist, und irgandwann bin ich dass auf folgendes "Unterhenmen" (keine ahnung ob es eines ist) gestossen http://datasoft.ws/ und habe gesehen, dass es dort "VOIP Dialers" gibt, und desweiteren einen "GoAutoDial-Server". Bei den "VOIP Dialers" steht "40 Rotating IPs", vemutlich sind 40 wechselnde Quell-IPs gemeint, damit man den "Bot" nicht sperren/bannen kann.


    Meine Fragen währen nun, ob es denn überhaupt legal ist, vorallem weil es so "offiziell" angeboten wird, und dann auch noch mit den 40 Wechelnden IPs, das ist doch klar, dass man etwas "im schilde führen" will, und die Frage was ich tun kann um meine Ruhe zu haben, ausser die IP zu ändern (was ich aber auch tun werde, wenn es nicht anders geht, und dann hoffen, dass nicht ein halbes Jahr später das gleiche wieder los geht, und ich ausserdem alle Telefone auf die neue IP konfigurieren muss.)


    Was ich noch vergessen habe zu erwähnen:


    Die Anstände sind immer unregelmassig zwischen 30 Sekunden und 5 Minuten, wenn sie kommen; wenn nicht, dann ist mal ein paar Stunden/Tage Ruhe, Dann wieder alle 5 Minuten.


    Im Telefondisplay erscheinen die verrücktesten Dinge, angefangen bei 3 Stelligen nummern, über "test" bis hin zu Ausrufezeichen und wirrem Zeug mir Klammer Hochkomma und anderem.


    Hoffe jemand kann mit helfen... Evtl. wende ich mich auch an die Bundesnetzagentur, der Service "Rufnummernmissbrauch Warteschleifen, Telefon Spam, Predictive Dailer"


    Grüsse

  • Bei diesem Programm gibt man nur IP oder Rufnummer ein, und es wird dann ein "Anruf starten" Befehl gesendet, das wars.

    Deshalb klingelt es dann auch und hört eine weile lang nicht mehr auf, und wenn man diesen "Anruf" annimmt, werden keine RTP Pakete (Sprache) gesendet

    Dann sollte zumindest deine Anlage auch überprüfen, ob bei Annahme des Gespräches ein RTP-Strom kommt oder nicht. Falls nach zwei Sekunden nichts passiert, das Gespräch einfach terminieren


    Bei den Anrufen handelt es sich NICHT um Festnetzanrufe, sondern um sogenannte IP-Calls.

    Das ist schon eher ein Zufall, dass man dich direkt anwählt mit "Nebenstelle@host". Sicher dass hier nichts per ENUM oder dergleichen reinkommt?

    Bei den "VOIP Dialers" steht "40 Rotating IPs", vemutlich sind 40 wechselnde Quell-IPs gemeint, damit man den "Bot" nicht sperren/bannen kann. ...

    Meine Fragen währen nun, ob es denn überhaupt legal ist, vorallem weil es so "offiziell" angeboten wird, und dann auch noch mit den 40 Wechelnden IPs, das ist doch klar, dass man etwas "im schilde führen" wil

    Finde ich nicht, es ist wie auf einem "shared Webhost". Je mehr Mitspieler auf einer Adresse sind, desto höher ist die Wahrscheinlichkeit dass die Reputation kaputt geht.

    die Frage was ich tun kann um meine Ruhe zu haben

    Die 40 IPs sperren wäre das einfachste und weiter analysieren woher der Ursprung wirklich stammt.


    Evtl. wende ich mich auch an die Bundesnetzagentur, der Service "Rufnummernmissbrauch Warteschleifen, Telefon Spam, Predictive Dailer"

    Ich denke, dass wird die BNetzA weniger interessieren, da es sich um "IP calls" wie du es nanntest, es sich handelt. Dort kann die BNetzA sehr schlecht eingreiifen. Eher würdest du mehr erreichen mit Abusenachrichten.

  • Das ist schon eher ein Zufall, dass man dich direkt anwählt mit "Nebenstelle@host". Sicher dass hier nichts per ENUM oder dergleichen reinkommt?

    Nein, nicht "nebenstelle@host" sondern nur die Host IP, mit der DID=ANY Regel landet es auf der Nebenstelle 10 (Zentrale).


    ENUM wird es nciht sein, da die IP in Wireshark ersichtlich ist.

    -----

    Mir der frage ob dieses Angebot legal ist:


    Es wird ein "voip Dialer" angeboten, ein Programm um zu nerven, desweiteren die 40 Quell IPs, damit man den "Abender" nicht sperren kann. Das ist doch schon etwas... komisch.

  • Zitat

    Je mehr Mitspieler auf einer Adresse sind, desto höher ist die Wahrscheinlichkeit dass die Reputation kaputt geht.

    Falsch: Es ist genau andersherum, also ein "Spieler" der 40 verschiedene IPs Sendet, um nicht gesperrt werden zu können.

  • Mir der frage ob dieses Angebot legal ist:
    Es wird ein "voip Dialer" angeboten, ein Programm um zu nerven, desweiteren die 40 Quell IPs,

    Ein Dialer egal ob PSTN oder VOIP ist legal, wenn er richtig eingesetzt wird. Dialer werden auch in Deutschland legitim eingesetzt und vermarktet. Auch mehrere IP-Adressen sind normal für verschiedene SIP switches um auch eine gewisse Redundanz zu schaffen.


    Vielleicht ist es auch nur ein "Wording" wie hier zu Lande KVM-Server als "Root-Server" bezeichnet werden, was die IP-Adressen angeht.


    Es ist genau andersherum, also ein "Spieler" der 40 verschiedene IPs Sendet, um nicht gesperrt werden zu können.

    Ich habe mir das Angebot nicht genauer angeschaut und kenne auch nicht dein Aufkommen. Ich stelle mir nur vor, dass der Anbieter eine Anlage mit Mandantenfähigkeit verwendet und es deshalb zu einem Loadbalancing auf 40 IP-Adressen kommt. Auf den ersten Blick scheint auch der Anbieter aus den USA zu stammen und sollte daher schon eine gewisse Seriosität haben.

  • Hay,


    ich weiß nicht, wie nativ man freepbx konfigurieren kann. Da freepbx auf Asterisk aufsetzt, würde ich so vorgehen - dabei gehe ich halbwegs von einer Standardinstallation aus, z.B. bezüglich der Pfade, außerdem setze ich die Asterisk 13 certified ein:


    a) Security Log einschalten


    /etc/logger.conf unter [logfiles]

    Code
    security => security

    Das erzeugt nach dem reload eine Datei /var/log/asterisk/security, dort versammeln sich Einträge wie (meine IP ausge-x-t)


    Code
    [2017-09-17 07:25:13] SECURITY[2594] res_security_log.c: SecurityEvent="InvalidPassword",EventTV="2017-09-17T07:25:13.139+0200",Severity="Error",Service="SIP",EventVersion="2",AccountID="900972597719697",SessionID
    ="0x7f41e0076f88",LocalAddress="IPV4/UDP/xxx.xxx.xxx.xxx/5060",RemoteAddress="IPV4/UDP/155.94.65.20/5094",Challenge="1f957968",ReceivedChallenge="1f957968",ReceivedHash="0a19ca99e6c0ad6a6119fe1c0a54d395"

    Das schöne daran ist, man braucht keinen Wireshark o.ä. mehr, die IP-Adressen stehen alle drin (IPV4/IDP/155.94.65.20 in dem Beispiel).


    Auf dieses Security-Log kann man nun den fail2ban loslassen.


    bei mir steht z.B. in /etc/fail2ban/filter.d/asterisk.conf diese Zeile in den failregex drin:


    Code
    failregex = SECURITY\[.*\] .* SecurityEvent="InvalidPassword".*RemoteAddress="IPV4/UDP/<HOST>/.*".*


    Die Zeile matched die obige Logfilezeile schön heraus und diese IP bekommt dann einen Strike verpasst :) Nach 5 Strikes innerhalb einer bestimmten Zeit wird diese IP bei mir gebannt und (wenn ich will) nach einer gewissen Zeit wieder frei gegeben.


    Dialer sind grundsätzlich nicht verboten, aber es gibt Regeln - in GB in "Gesetzesform", hier eher implizit durch die Regulierungsbehörde. Die Regeln sind aber auf der einen sehr kompliziert, auf der anderen Seite kümmert das einen zentralchinesischen Hackern nicht... deswegen Selbstschutz z.B. a la fail2ban. Für größere Installationen reicht fail2ban nicht, da nimmt man eher einen vorgelagerten Proxy (inkl. "SIP-Firewall") wie Kamailio, der haut auch 1 Mio illegale Anrufe am Tag weg XD


    CU, Peter.

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hay,


    Nachtrag: Selbst wenn durch das durchrotieren der IP-Adressen fail2ban vielleicht nicht korrekt anschlägt, sammelt es verdächte IP-Adressen, so wie bei mir. Ich schaue mir dann regelmäßig das fail2ban log an und wenn ich Muster erkenne, sperre ich die dann mit iptables manuell.


    CU, Peter.

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hay,


    noch einmal ein Nachtrag - ich habe ja nicht berücksichtigt, dass es sich offensichtlich nicht um Einbruchsversuche handelt, sondern um "normale" und vermeitlich korrekte Anrufversuche. Insofern ist mein Geschreibsel leider nicht anwendbar ;( und man müsste von Hand-Zu-Fuß sperren. Sorry.


    Allerdings müssen auch Anrufer einen SIP-Absender stellen und diesen kann man dann im Extremfall per Dailplan und Tastendruck in eine sich selbst ergänzende Blacklist eintragen (sofern freepbx das Ergänzen von Dialplänen zulässt). Das birgt natürlich die Gefahr, auch zulässige Anrufer auszuschließen, z.B. wenn jemand eine korrekte deutsche Rufnummer als Absender mißbraucht.


    Sofern man nur "normale" Telefonanrufe erwartet (von Festnetznummern oder Mobilrufnummer z.B.) sollte man den Wählplan schon eingehend entsprechend einschränken und nicht alle Anrufe generell annehmen (sondern nur das, was numerisch kommt, CALLERID(num) aufdröseln), sowie auswerten, ob tatsächlich ein konkretes Wählziel angegeben wurde (nicht "_." annehmen, sondern "_49640862070XX" am Beispiel meiner Nummer oder konkreter "4964086207010" für eine dedizierte Durchwahl) und alles in einen richtigen Context schmeißen (nicht "default" oder "public"). Aber das kann die Stelle sein, in der man gerne freepbx einsetzt, weil das nicht so kompliziert ist.


    CU, Peter.

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • OK, und wie sieht es mir der Wireshark alternative ohne Programme aus?


    Das Problem ist ja, dass im CDR die IPs nicht ersichtlich sind, sondern nur im Wireshark... Könnte dieses eine Alternative sein, damit ich nicht immer Wireshark geöffnet haben muss?


    Wenn möglich würde ich gerne per "IP Direct" gerne erreichbar bleiben, allerdings nur "echte" Anrufe (kein spam-rotz)


    Was ich zusätzlich sagen kann, ich habe keine DDI Sondern eine "Normale" Nummer bei Easybell, deshalb musste ich den Eintrag der eingehenden Regel auf DDI = ANY Setzen.


    Früher habe ich die Free Version von 3CX genutzt, da konnte ich auch "Kopf-Nummern" an Endgeräte zuweisen, in meinem Fall


    Telefonnummer 0751.......300 -> NST 10

    Telefonnummer 0751.......322 -> NST 30


    Ist bei FreePBX nicht möglich, da ich nur bei DDI die durchwahl angeben kann, und diese für alle "Kopf-Nummern" gelten würde, wenn also:


    DDI 10 -> NST 10 und man 2 oder Mehere Nummern hat: 030/12345-10 -> NST10 und automatisch auch030/9876-10 -> NST 10


    Bei der Einstellung DDI=ANY würden auf der Nebenstelle mir der ANY Einstellung alle DDI Nummern landen, wenn man keine DDI gewählt hat, und auch alle Nicht DDI Nummern landen z.b. :


    030/12345-0 ; 030/9876-0 ; 030/5555555 (im Beispiel keine DDI fähige Nummer)




    Nun zur Frage:


    Gibt es eine Möglichkeit evtl ein Plugin, mitdem ich das einstellen kann, dass nicht DDI Fähige Nummern separiert werden wie oben gezeigt:


    ......300 -> 10 ; ......322 -> 30


    Nun nochmal zu den nervigen IP-Calls:


    Aufgrund von der ANY einstellung, kann ich IP-Calls empfangen, was ja auch gut ist, nur eben nicht diese Fake Anrufe, deshalb die Frage, welche Möglichkeiten es gäbe z.b.:


    -Nur diese nervigen IP-Calls auszugrenzen

    -Trotz der DDI=ANY Einstellung KEINE Direct IP Calls zu empfangen

    Oder

    -Auf die DDI=ANY Einstellung zu verzichten, aber trotzdem mit meiner Nicht DDI Nummer erreichbar zu sein.


    Und Dieses "Wireshark ohne Wireshark" wie stelle ich das ab besten an, kann auch ein Ringpuffer sein (First-in-First-out), der am Besten permanent läuft.



    Grüsse

  • Hay,


    zu kompliziert bzw. spezifisch für (dieses) Forum. Gehört besser in ein freepbx Forum, Ich habe Ihre PN beantwortet.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hay,


    schauen Sie in /var/log/asterisk.


    Von Installation zu Installation können da unterschiedliche Dateien liegen. Diese werden in /etc/asterisk/logger.conf konfiguriert.


    z.B. ist ein Standardeintrag "full => notice,warning,error,debug,verbose,dtmf,fax"

    bedeutet: Dateiname "full" und dort fließen die Typen notice, warning... etc mit hinein.


    Entweder "full" oder "messages" heißen die Dateien in der Regel, also mit vollem Pfad /var/log/asterisk/full. Da werden die SIP-Pakete zu dem Zeitpunkt ins Logfile hineingeschrieben, wann sie auftreten. D.h. man sieht, was vorher passiert und was nachher.


    Gegebenenfalls schicken Sie dort, wo sie "sip set debug on" eingegeben haben (also die Kommandozeile der Asterisk) noch zusätzlich ein "core set verbose 5" und "core set debug 3". Standardmäßig liegt die Geschwätzigkeit der Asterisk bei 3, die setzen Sie damit auf 5 und normale Debug-Infos sind ausgeschaltet, die schalten Sie mit der 3 auf einem niedrigem Level ein. Mehr bekommen Sie mit höheren Zahlen, bis zur 9.


    Nach dem Debuggen sollten sie wieder auf die Standardwerte zurückgehen, also nacheinander "sip set debug off", "core set verbose 3", "core set debug off". Sonst kommen uU sehr große Logfiles zustande!


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.