Странное поведение Asterisk

Всем привет, буквально вчера поставил астериск 1.8.17. Ставил из исходников, также сверху накатил FreePBX 2.10. Сервак подключен к инету через Роутер, порты на него не прокинуты. Все пользователи звонят через софтфоны. Есть один транк. Внешний IP адрес статический.

Собственно что я сегодня увидел в CDR:

calldate,clid,src,dst,dcontext,channel,dstchannel,lastapp,lastdata,duration,billsec,disposition,amaflags,accountcode,uniqueid,userfield
2013-02-14 09:57:19,"201" <201>,201,s,from-sip-external,SIP/[Внешний IP]-0000001d,,Wait,2,0,0,ANSWERED,3,,1360821439.29,
2013-02-14 09:57:09,"201" <201>,201,s,from-sip-external,SIP/[Внешний IP]-0000001b,,Answer,,0,0,ANSWERED,3,,1360821429.27,
2013-02-14 08:10:13,"8080" <8080>,8080,s,from-sip-external,SIP/[Внешний IP]-0000001a,,Answer,,0,0,ANSWERED,3,,1360815013.26,
2013-02-14 03:45:31,"205" <205>,205,s,from-sip-external,SIP/[Внешний IP]-00000010,,Wait,2,1,1,ANSWERED,3,,1360799131.16,
2013-02-14 01:33:14,"2201" <2201>,2201,s,from-sip-external,SIP/[Внешний IP]-0000000c,,Answer,,0,0,ANSWERED,3,,1360791194.12,
2013-02-13 22:50:12,"1001" <1001>,1001,s,from-sip-external,SIP/[Внешний IP]-0000000b,,Answer,,0,0,ANSWERED,3,,1360781412.11,
2013-02-13 22:43:53,"201" <201>,201,s,from-sip-external,SIP/[Внешний IP]-00000009,,Answer,,0,0,ANSWERED,3,,1360781033.9,
2013-02-13 21:56:39,"1000" <1000>,1000,s,from-sip-external,SIP/[Внешний IP]-00000006,,Wait,2,1,1,ANSWERED,3,,1360778199.6,

Очень странно: 1. Номера которые указанны в clid не сущетсвуют в sip.conf 2. Звонок как-бы идет через внешний IP адрес и через контекст from-sip-external.

Я испугался, подумал ну все мандец взломали. НО....

Иду в смотреть логи астериска full. 1. Там нет звонков вообще по такой схеме которая указана в CDR. Зато в тоже время вот что было в логе full:

[2013-02-14 00:39:46] NOTICE[3877] chan_sip.c: Failed to authenticate device 103<sip:103@[Внешний IP]>;tag=27027fcd
[2013-02-14 00:39:47] NOTICE[3877] chan_sip.c: Failed to authenticate device 103<sip:103@[Внешний IP]>;tag=3dbe80f4
[2013-02-14 09:25:31] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=0f444c7e
[2013-02-14 09:25:32] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=56e74633
[2013-02-14 09:25:32] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=4b3376f5
[2013-02-14 09:25:33] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=927edcce
[2013-02-14 09:25:34] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=7b17985f
[2013-02-14 09:25:34] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=b9a90c43
[2013-02-14 09:25:35] NOTICE[3877] chan_sip.c: Failed to authenticate device 100<sip:100@[Внешний IP]>;tag=04daee3a

Тут получается он пытается зарегестрировать сущетвующего пользователя через Внешний IP адрес, но естественно он посылается нах.

Смотрю логи secure, переборов паролей небыло и из лога не удалялись данные так как в этот момент там былb сообщениb что crond авторизовывался и делал бэкапы.

Анонимнные звонки в системе запрещены. Доступа из интернета к серверу нет. Выходит что попытки взлома идут из локальной сети. У клиентов софтфоны, и теоретически троян или вирус могли подхватить настройки софтона и тытаются долбиться на астериск.

Я сейчас конечно замусь локальной сетью, но я первый раз с таким сталкиваюсь. Сейчас еще буду закрыть доступ к WEB морде в локальной сети всем кроме кого нибудь одного и пароль в htaccess поставлю на директорию.

Подскажиет реально ли атака из локальной сети, т.к. раньше только сталкивался с атаками из интернета.

Поправил chansip.c, теперь будет выводить IP адрес злоумышленика, если клму интересен мой файл можете качнуть unix-sar.ru/share/chansip.c

Победил! Атак больше нет.