Jorge:

Todo depende de como ocurrió el ataque. Por ejemplo: si el atacante usó el AMI, es posible que los intentos de llamada no hayan quedado registrados.

Para ilustrarlo, haz este ejemplo. Ejecuta desde el *CLI (obviamente reemplazando el número y la troncal por la que te corresponda):

channel originate DAHDI/g0/0445512345678 application playback demo-congrats


Verás que esto no queda registrado en los CDRs, ya que si envias una llamada a una aplicación, nunca hay un canal origen/destino, así que no hay nada que registrar.

Si puedes consigue fecha y hora de los eventos y busca en el full más exhaustivamente. Siempre queda algún rastro de los eventos maliciosos ocurridos.

Saludos.

Gracias por tu respuesta, voy a pedir horarios a telmex para buscar en esas horas, aunque ya lo he hecho y no veo nada extraño, solo llamadas locales, pero bueno, no hay peor lucha que la que no se hace.

recomiendas tu el uso del firewall de elastix para estos casos?

Saludos

Siempre recomiendo doble firewall: uno en hardware y otro en software.

Aquí la primer pregunta es: ¿por qué se metieron? ¿qué tenías expuesto? Seguramente la funcionalidad por la que hayas abierto puertos se puede cambiar por otra que sea más segura. Recomendaría también explorar por allí.

Saludos.

Hola

por error un administrador dejo abierto el puerto 443 que apuntaba al PBX en el firewall de hardware que hay (lo abrió para hacer un cambio y olvido cerrarlo), ese puerto ya se cerró y la administración únicamente se debe hacer por VPN, yo me refería en especifico al SIP Firewall Elastix.

Saludos