
I have not seen a case of this that was not caused by having an internet reachable router with port 5060 TCP or UDP open.  I have these shut down on my home router and I consistently see scans.  You should always shut down ports TCP/UCP 5060 and TCP 1720 on your router for outside interfaces.  Maybe your NAT is not a PAT also, and it forwards all ports through.  NAT is not inherently a security device, and should not be assumed so.<br>

<br>This has been addressed in 15.1(2)T through some more specific restrictions as well.<br><br>-nick<br><br><div class="gmail_quote">On Sat, Jan 15, 2011 at 11:50 PM, Jawad A Hai <span dir="ltr"><<a href="mailto:ahjawad@hotmail.com">ahjawad@hotmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">


<div style="padding-left: 10px; padding-right: 10px; padding-top: 15px;" link="blue" vlink="purple" name="Compose message area" lang="EN-US">

<div><font color="#000080" face="Tahoma">Hello Jason,</font></div>

<div><font color="#000080" face="Tahoma"></font> </div>

<div><font color="#000080" face="Tahoma">The CME has intenret accessibility, but 

with Natted IP.</font></div>

<div><font color="#000080" face="Tahoma">Its behind firewall, </font></div>

<div><font color="#000080" face="Tahoma">I think we were hacked by those pay phone 

gangs,</font></div>

<div><font color="#000080" face="Tahoma">they have some how scanned the system for 

the CLID manipulation, once they found the matching four digit DID, they have 

started sending calls using that DID.</font></div>

<div><font color="#000080" face="Tahoma">I traced the calls, they were going to 

"dial to win " hold your call as long as to win prizes, blah blah.</font></div>

<div><font color="#000080" face="Tahoma">I don’t have any call pattern.</font></div>

<div><font color="#000080" face="Tahoma">But what amazes with the sophistication of 

those gangs, it was done deliberately during weekend.</font></div>

<div><font color="#000080" face="Tahoma">I see SIP call legs in call logs, I don’t 

have SIP configured in the CME, but I don’t have in " h.323 to sip and sip to 

h.323 " conversion in voice service voip.</font></div>

<div><font color="#000080" face="Tahoma"></font> </div>

<div><font color="#000080" face="Tahoma">Still not sure how was it done, with CLID 

manipulation.</font></div>

<div><font color="#000080" face="Tahoma">Please share any ideas.</font></div>

<div> </div>

<div style="font: 10pt Tahoma;">

<div><font color="#000080" size="3"></font><br></div>

<div style="background: none repeat scroll 0% 0% rgb(245, 245, 245);">

<div><b>From:</b> <a title="jason.aarons@us.didata.com" href="mailto:jason.aarons@us.didata.com" target="_blank">Jason Aarons (US)</a> </div>

<div><b>Sent:</b> Sunday, January 16, 2011 6:35 AM</div>

<div><b>To:</b> <a title="ahjawad@hotmail.com" href="mailto:ahjawad@hotmail.com" target="_blank">Jawad A Hai</a> ; <a title="mailto:cisco-voip@puck.nether.net

CTRL + Click to follow link" href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a> </div>

<div><b>Subject:</b> RE: [cisco-voip] E1 call Fraud + h.323 Gw</div></div></div><div><div></div><div class="h5">

<div><br></div>

<div>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125); font-size: 11pt;">Hopefully 

the CME doesn’t have any Internet accessability? It’s behind a firewall 

right?</span></p>

<p class="MsoNormal"><span style="color: rgb(31, 73, 125); font-size: 11pt;"> </span></p>

<div>

<div style="border-width: 1pt medium medium; border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; padding: 3pt 0in 0in;">

<p class="MsoNormal"><b><span style="font-size: 10pt;">From:</span></b><span style="font-size: 10pt;"> <a title="mailto:cisco-voip-bounces@puck.nether.net

CTRL + Click to follow link" href="mailto:cisco-voip-bounces@puck.nether.net" target="_blank">cisco-voip-bounces@puck.nether.net</a> 

[mailto:<a href="mailto:cisco-voip-bounces@puck.nether.net" target="_blank">cisco-voip-bounces@puck.nether.net</a>] <b>On Behalf Of </b>Jawad A 

Hai<br><b>Sent:</b> Saturday, January 15, 2011 1:21 PM<br><b>To:</b> <a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br><b>Subject:</b> 

[cisco-voip] E1 call Fraud + h.323 Gw</span></p></div></div>

<p class="MsoNormal"> </p>

<div>

<p class="MsoNormal"><span style="color: navy;">Hello 

Group,</span></p></div>

<div>

<p class="MsoNormal"> </p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">Recently I faced a 

problem with one of my client, who has got E1r2, 

DID/DOD.</span></p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">He has Cisco CME and 

Cisco Voice Gateway.</span></p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">Suddenly all 30 ports 

got busy with international calls. All the calls are being generated by ONE IP 

Phone which has got local extension 2000.</span></p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">This extension was 

translated to DID number, so that any call goes out via this number takes the 

DID and any call comes on this DID will land on this 

Phone.</span></p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">The CME was configured 

to access via outside with live IP. ie Live IP to Local IP 

(NAT).</span></p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">Now the thing here is 

all the calls which were generated are international calls, we rebooted the gw, 

we rebooted the CME it stayed same..once it reboots all 30 ports got busy with 

international calls.</span></p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">calls going to african 

countries/russian countries( dial codes belongs to these 

countries).</span></p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">When I changed the 

international dial peer on the CME they stopped.</span></p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">But catch here is they 

have received more than 100 k USD bill from TELCO.  DEAD DEAD Bang 

Bang.</span></p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">What are the chances of 

toll Fraud or any other way of hacking ?</span></p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">OR could it be TELCO 

side issue?</span></p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">Cuz I see mostly calls 

are being generated by single DID number ??</span></p></div>

<div>

<p class="MsoNormal"> </p></div>

<div>

<p class="MsoNormal"><span style="color: navy;">Aali</span></p></div>

<div>

<p class="MsoNormal"> </p></div></div>

<p>

</p><hr size="1">


<p></p>

<p><b>Disclaimer: This e-mail communication and any attachments may contain 

confidential and privileged information and is for use by the designated 

addressee(s) named above only. If you are not the intended addressee, you are 

hereby notified that you have received this communication in error and that any 

use or reproduction of this email or its contents is strictly prohibited and may 

be unlawful. If you have received this communication in error, please notify us 

immediately by replying to this message and deleting it from your computer. 

Thank you. </b></p></div></div></div>

<br>_______________________________________________<br>

cisco-voip mailing list<br>

<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>

<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

<br></blockquote></div><br>