What does your whole REGISTER route look like?  Maybe you are missing something in there and it is allowing someone to register even thought the password is wrong.<br /><br /><br /><br />On , James Lamanna &lt;jlamanna@gmail.com&gt; wrote:<br />&gt; Hi,<br />&gt; <br />&gt; I know the phones are not on public IPs.<br />&gt; <br />&gt; Here is a opensips log of an attacker successfully registering<br />&gt; <br />&gt; (hashes have been scrubbed)<br />&gt; <br />&gt; <br />&gt; <br />&gt; <br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:tm:t_newtran: transaction on entrance=(nil)<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:core:parse_headers: flags=ffffffffffffffff<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:core:parse_headers: flags=78<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:tm:t_lookup_request: start searching: hash=22639, isACK=0<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:tm:t_lookup_request: proceeding to pre-RFC3261 transaction<br />&gt; <br />&gt; matching<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:tm:t_lookup_request: no transaction found<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:tm:run_reqin_callbacks: trans=0x2b9c44a2a3e0, callback type 1, id<br />&gt; <br />&gt; 0 entered<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:auth:check_nonce: comparing<br />&gt; <br />&gt; [4f2c3e2b00000c63c2838fdbc4296a91dd7866f0c9a7b89b] and<br />&gt; <br />&gt; [4f2c3e2b00000c63c2838fdbc4296a91dd7866f0c9a7b89b]<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:db_mysql:has_stmt_ctx: ctx found for subscriber<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:db_mysql:db_mysql_do_prepared_query: conn=0x7ee8c0 (tail=8315728)<br />&gt; <br />&gt; MC=0x7ee3b0<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:db_mysql:db_mysql_do_prepared_query: set values for the statement<br />&gt; <br />&gt; run<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:db_mysql:db_mysql_val2bind: added val (0): len=5; type=254;<br />&gt; <br />&gt; is_null=0<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:db_mysql:db_mysql_do_prepared_query: doing BIND_PARAM in...<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:db_mysql:db_mysql_do_prepared_query: prepared statement has 1<br />&gt; <br />&gt; columns in result<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:core:db_new_result: allocate 48 bytes for result set at 0x7f2200<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:db_mysql:db_mysql_get_columns: 1 columns returned from the query<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:core:db_allocate_columns: allocate 28 bytes for result columns at<br />&gt; <br />&gt; 0x7f55a8<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:db_mysql:db_mysql_get_columns: RES_NAMES(0x7f55b0)[0]=[password]<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:db_mysql:db_mysql_get_columns: use DB_STRING result type<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:core:db_allocate_rows: allocate 48 bytes for result rows and<br />&gt; <br />&gt; values at 0x7fa080<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:db_mysql:db_mysql_str2val: converting STRING [........]<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:auth_db:get_ha1: HA1 string calculated: ....7ee7c3<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:auth:check_response: our result = ....7f340e&#39;<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:auth:check_response: their response = &#39;.....7f340e&quot;,<br />&gt; <br />&gt; algorithm=MD5#015#012User-Agent: VaxSIPUserAgent/3.0#015#012Expires:<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:auth:check_response: authorization is OK<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:auth:post_auth: nonce index= 3171<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:core:db_free_columns: freeing result columns at 0x7f55a8<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:core:db_free_rows: freeing 1 rows<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:core:db_free_row: freeing row values at 0x7fa090<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:core:db_free_rows: freeing rows at 0x7fa080<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]:<br />&gt; <br />&gt; DBG:core:db_free_result: freeing result set at 0x7f2200<br />&gt; <br />&gt; Feb  3 12:05:33 opensips2 /usr/local/sbin/opensips[26313]: Auth<br />&gt; <br />&gt; attempt for xxxxx@yy.yy.yy.11 from 74.204.92.217 on port 5060 ret 1<br />&gt; <br />&gt; <br />&gt; <br />&gt; -- James<br />&gt; <br />&gt; <br />&gt; <br />&gt; On Thu, Feb 2, 2012 at 12:08 AM, Dovid Bender os-list@dovid.net&gt; wrote:<br />&gt; <br />&gt; &gt; James,<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; We have found with out users that some of them put the phones on public<br />&gt; <br />&gt; &gt; IP’s. If the default password is not changed, no matter how hard the<br />&gt; <br />&gt; &gt; password is they will get in. Also try using characters like “@:^#” in your<br />&gt; <br />&gt; &gt; passwords.<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; Regards,<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; Dovid<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; ________________________________<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; From: users-bounces@lists.opensips.org<br />&gt; <br />&gt; &gt; [mailto:users-bounces@lists.opensips.org] On Behalf Of aws j<br />&gt; <br />&gt; &gt; Sent: Thursday, February 02, 2012 06:08<br />&gt; <br />&gt; &gt; To: OpenSIPS users mailling list<br />&gt; <br />&gt; &gt; Subject: Re: [OpenSIPS-Users] SIP Authentication Attacks<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; Dear Mr James<br />&gt; <br />&gt; &gt; Can you attached to me your suspect file to make VoIP forensic on it .<br />&gt; <br />&gt; &gt; thanks<br />&gt; <br />&gt; &gt; Aws<br />&gt; <br />&gt; &gt; Msc VoIP security<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; 2012/2/1 James Lamanna jlamanna@gmail.com&gt;<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; Hi,<br />&gt; <br />&gt; &gt; I&#39;ve noticed lately that a server of mine is getting repeatedly hit by<br />&gt; <br />&gt; &gt; an attacker trying to make international calls.<br />&gt; <br />&gt; &gt; The scary part is that the attacker seems to be able to register<br />&gt; <br />&gt; &gt; correctly on different extensions, even though each extension has a<br />&gt; <br />&gt; &gt; different, random password.<br />&gt; <br />&gt; &gt; I&#39;m not sure how the attacker is getting the passwords or if there&#39;s a<br />&gt; <br />&gt; &gt; man-in-the-middle attack going on, but I would like some suggestions<br />&gt; <br />&gt; &gt; on how to increase the security of SIP authentication in opensips.<br />&gt; <br />&gt; &gt; I could enforce security through IP addresses, but I fear that will<br />&gt; <br />&gt; &gt; become quite cumbersome.<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; Thanks.<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; -- James<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; _______________________________________________<br />&gt; <br />&gt; &gt; Users mailing list<br />&gt; <br />&gt; &gt; Users@lists.opensips.org<br />&gt; <br />&gt; &gt; http://lists.opensips.org/cgi-bin/mailman/listinfo/users<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; &gt; _______________________________________________<br />&gt; <br />&gt; &gt; Users mailing list<br />&gt; <br />&gt; &gt; Users@lists.opensips.org<br />&gt; <br />&gt; &gt; http://lists.opensips.org/cgi-bin/mailman/listinfo/users<br />&gt; <br />&gt; &gt;<br />&gt; <br />&gt; <br />&gt; <br />&gt; _______________________________________________<br />&gt; <br />&gt; Users mailing list<br />&gt; <br />&gt; Users@lists.opensips.org<br />&gt; <br />&gt; http://lists.opensips.org/cgi-bin/mailman/listinfo/users<br />&gt; <br />&gt;