<div dir="ltr"><div>First post!</div><div><br></div><div>So yesterday I installed the latest from Debian 10 repo and the latest cp web app using a method similar to powerpbxdotorg howto.</div><div>I had 5060 open in my firewall, two user phones configured with strong passwords, and a gateway with IP auth for termination.</div><div>Within 10 minutes calls were being placed via unauthenticated invites I think. </div><div><br></div><div>I used the residential config script with a minor beginner destination number pattern match difference:<br></div><a href="https://pastebin.com/GPrMcWYK">https://pastebin.com/GPrMcWYK</a> <div><br><div>if ($rU=~"^[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]+$") {<br>#if (dp_translate(10,"$rU/$rU") ) {<br>#strip(1);<div><br></div><div>The opensips log has a lot of this in it all the time:</div><div>Jan 17 15:56:04 dsip1 /usr/sbin/opensips[24971]: CRITICAL:db_mysql:wrapper_single_mysql_stmt_execute: driver error (1048): Column 'to_tag' cannot be null<br>Jan 17 15:56:04 dsip1 /usr/sbin/opensips[24971]: ERROR:acc:acc_db_request: failed to insert into acc table<br></div><div><br></div><div>The illicit calls start in the log like this:</div><div><a href="https://pastebin.com/mCNXqK7T">https://pastebin.com/mCNXqK7T</a></div><div>I can post the full log but it will take some time to sanitize.</div><div><br></div><div>Sip call ID links in CDR viewer show this: "Sorry , sip trace for this call is unavailable."</div><div>There are also only 0 durations on all legs however they incurred duration and billing on termination.</div><div>I'm fairly certain the calls were not placed via the user phone accounts because of strong passwords.</div><div>My next steps are to disable the gateway and packet capture on the interface to investigate illicit invites.</div><div><br></div><div><div>Where do I even start investigating how unauthenticated invites were placed and prevent it in the opensips config?</div><div>Any suggestions would be greatly appreciated.</div></div><div><br></div></div></div></div>