apres 5 ans de tranquilite, et en dépit de ma signature, je viens de me faire pirater pour la première fois... et je comprends pas comment....
=> mon asterisk a reçu quelques centaines d'appel par un trunk d'un site client enregistré extérieur:
(pabx classique) <=> (passerelle patton) <=> internet <=> asterisk
les appels sont arrivés via l'ip du trunk configuré pour la patton. pas un message d'erreur, rien, direct les appels. la patton s'enregistre en dynamic, donc une fois l'enregistrement fait, tout ce qui vient de cette ip/port est routé.
les appels présentent un from à la noix (genre 'asr100', ou '1004') et les appels vont vers l'europe, l'afrrique, la bosnie, le costa rica, palestine (j'en passe et des meilleures) - je doute franchement que cela soit une fraude interne chez mon client.
les callerid montrent que ca vient pas de la config classique de la passerelle, des erreurs de codec en pagaille me montrent la bonne ip du site client, à part ma passerelle, y'a pas de voip sur le site distant (c'est un magasin dans un centre commercial...). j'ai peine à croire à une attaque MITM car tout le trafic IP est local - et on voit nettement que le hacker recherche le format pour des appels internationaux, et ne fait que de l'international.
à part le fait que le gars soit rentré sur la passerelle, je comprends pas comment il m'envoie des paquets provenant de la bonne ip / bon port, et y répond (l'effronté)
toutes vos idées sont les bienvenues......
:-)