<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 12 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Ones  I had problems with were coming from a small island in Japan. Every time they would get close to finding my SIP phone number I would move it. I was playing
 with them for a while. Once I got tired I just moved the SIP port and haven’t had a problem since. I wanted to watch their search method for a while before I killed them off. Both of them used a different approach to discovery.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<div>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:#17365D">Bill Hurlock<o:p></o:p></span></b></p>
</div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Jim Duuuude [mailto:telesistant@hotmail.com]
<br>
<b>Sent:</b> Friday, July 12, 2013 1:21 PM<br>
<b>To:</b> Dwaine Garden VE3GIF; Bill Hurlock<br>
<b>Cc:</b> app_rpt mailing list<br>
<b>Subject:</b> RE: [App_rpt-users] App_rpt-users Digest, Vol 52, Issue 31<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-family:"Calibri","sans-serif"">Before you start accusing people of "hacking from China", remember that most of these SIP<br>
'probing' attacks (where they go through a 'list' of extensions to see if they 'get a call through')<br>
are 'done' from systems that, themselves, were compromised. <br>
<br>
Certainly, a good number of them seem to come from a Chinese-type location, but I have seen
<br>
others "infected" with this problem in a number of places other then China, including, in one case,<br>
here in the US, and it was "attacking" a system on the same ISP (gee, that was "easy" to
<br>
"find and fix").<br>
<br>
Another one I had to "deal with" (also here in the US) ironically was itself a SIP server/gateway<br>
(*not* on port 5060), that got "compromised" to run "attack scripts" to other servers on port 5060.<br>
As you can see, irony can be very ironic sometimes :-).<br>
<br>
Perhaps China is a good place for these "hackers" to find systems that are run by people<br>
that are unaware of "what's happening" with them.<br>
<br>
In any case, since these "scripts" seem to only be "interested" in SIP servers running on port 5060,<br>
changing the port seems to be a REALLY good way to "not have the problem anymore".<br>
<br>
Jim<o:p></o:p></span></p>
<div>
<p class="MsoNormal"><span style="font-family:"Calibri","sans-serif"">> Date: Fri, 12 Jul 2013 13:07:06 -0400<br>
> From: <a href="mailto:DwaineGarden@rogers.com">DwaineGarden@rogers.com</a><br>
> To: <a href="mailto:bill.hurlock@cpcomms.com">bill.hurlock@cpcomms.com</a><br>
> CC: <a href="mailto:app_rpt-users@ohnosec.org">app_rpt-users@ohnosec.org</a><br>
> Subject: Re: [App_rpt-users] App_rpt-users Digest, Vol 52, Issue 31<br>
> <br>
> I'm going to try that... The hackers from China keep pounding the server non stop.
<br>
> <br>
> Bill Hurlock <<a href="mailto:bill.hurlock@cpcomms.com">bill.hurlock@cpcomms.com</a>> wrote:<br>
> <br>
> >I had the same problem and the solution I used, because I use SIP, was to change the default SIP port to a non standard port which stopped all the bogus junk from happening.<br>
> ><br>
> >Bill Hurlock<br>
> ><br>
> >-----Original Message-----<br>
> >From: <a href="mailto:app_rpt-users-bounces@ohnosec.org">app_rpt-users-bounces@ohnosec.org</a> [<a href="mailto:app_rpt-users-bounces@ohnosec.org">mailto:app_rpt-users-bounces@ohnosec.org</a>] On Behalf Of
<a href="mailto:app_rpt-users-request@ohnosec.org">app_rpt-users-request@ohnosec.org</a><br>
> >Sent: Sunday, June 23, 2013 6:43 PM<br>
> >To: <a href="mailto:app_rpt-users@ohnosec.org">app_rpt-users@ohnosec.org</a><br>
> >Subject: App_rpt-users Digest, Vol 52, Issue 31<br>
> ><br>
> >Send App_rpt-users mailing list submissions to<br>
> > <a href="mailto:app_rpt-users@ohnosec.org">app_rpt-users@ohnosec.org</a><br>
> ><br>
> >To subscribe or unsubscribe via the World Wide Web, visit<br>
> > <a href="http://ohnosec.org/cgi-bin/mailman/listinfo/app_rpt-users">http://ohnosec.org/cgi-bin/mailman/listinfo/app_rpt-users</a><br>
> >or, via email, send a message with subject or body 'help' to<br>
> > <a href="mailto:app_rpt-users-request@ohnosec.org">app_rpt-users-request@ohnosec.org</a><br>
> ><br>
> >You can reach the person managing the list at<br>
> > <a href="mailto:app_rpt-users-owner@ohnosec.org">app_rpt-users-owner@ohnosec.org</a><br>
> ><br>
> >When replying, please edit your Subject line so it is more specific than "Re: Contents of App_rpt-users digest..."<br>
> >_______________________________________________<br>
> >App_rpt-users mailing list<br>
> ><a href="mailto:App_rpt-users@ohnosec.org">App_rpt-users@ohnosec.org</a><br>
> ><a href="http://ohnosec.org/cgi-bin/mailman/listinfo/app_rpt-users">http://ohnosec.org/cgi-bin/mailman/listinfo/app_rpt-users</a><br>
> _______________________________________________<br>
> App_rpt-users mailing list<br>
> <a href="mailto:App_rpt-users@ohnosec.org">App_rpt-users@ohnosec.org</a><br>
> <a href="http://ohnosec.org/cgi-bin/mailman/listinfo/app_rpt-users">http://ohnosec.org/cgi-bin/mailman/listinfo/app_rpt-users</a><o:p></o:p></span></p>
</div>
</div>
</div>
</body>
</html>