История изменений [назад]

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро позвони "позвони в Украину по-дешевке)))по-дешевке")))

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))

[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged off from 127.0.0.1

[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))

[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged off from 127.0.0.1

Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:

[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))

[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged off from 127.0.0.1

Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:

[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))

[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged off from 127.0.0.1

Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:

[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user

UPD: UPD: это не точно не через ами. ФриПБХ его юзал активно просто.

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))

[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged off from 127.0.0.1

Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:

[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user

UPD: это не точно не через ами. ФриПБХ его юзал активно просто.

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))

[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged off from 127.0.0.1

Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:

[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user

UPD: это не точно не через ами. ФриПБХ его юзал активно просто.

UPD2: Выловил по логам, взломали через веб-морду. У меня стоит htaccess на папку html и стандартный htaccess на папки admin и maint. Так вот где дыра: чтоб зайти в папку maint надо пройти в шага аутентификации, а в папку admin - всего один (тот что maint). В чём глюк?

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))

[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged off from 127.0.0.1

Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:

[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user

UPD: это не точно не через ами. ФриПБХ его юзал активно просто.

UPD2: Выловил по логам, взломали через веб-морду. У меня стоит htaccess на папку html и стандартный htaccess на папки admin и maint. Так вот где дыра: чтоб зайти в папку maint надо пройти в 2 шага аутентификации, а в папку admin - всего один (тот что maint). В чём глюк?

101/s                      (Unspecified)    D   N   A  0        UNKNOWN

Через этот экст ходят звонки через gsm-шлюз, благо там симки безлимитки - мы не попали.

Вопрос, каким образом взломали и как звонят?

Стоит феил2бан на ссш и астериск, пароль 7 знаков на экст,

alwaysauthreject=yes
allowguest=no

Влогах куча галиматьи типа

[2011-05-24 20:01:32] NOTICE[2625] chan_sip.c: Failed to authenticate user "393342382792" <sip:101@ххх.ххх.ххх.хх>;tag=as5557b335
[2011-05-24 20:01:37] NOTICE[2625] chan_sip.c: Failed to authenticate user "393392568276" <sip:101@ххх.ххх.ххх.хх>;tag=as4c12cc08
[2011-05-24 20:01:54] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as6f7a8e03
[2011-05-24 20:01:55] NOTICE[2625] chan_sip.c: Failed to authenticate user "393663244426" <sip:101@ххх.ххх.ххх.хх>;tag=as52ed52b2
[2011-05-24 20:01:57] NOTICE[2625] chan_sip.c: Failed to authenticate user "4046674322" <sip:101@ххх.ххх.ххх.хх>;tag=as48489d43

А феил2бан блочит соответственно ИП сервака, то есть ххх.ххх.ххх.хх

ЗЫ: прослушал один разговор, понял что звонят из Наполи (украинцы - в Украину, заробитчане одним словом), позвонил абоненту. Спросил каким образом позвонили, увы он не в курсе. Я так полагаю, что наш сервак юзает бюро "позвони в Украину по-дешевке")))

[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged on from 127.0.0.1
[2011-05-24 19:34:45] VERBOSE[28679] logger.c:   == Manager 'admin' logged off from 127.0.0.1

Я так понимаю, звонки совершались через АМИ, так как логи засраны такими сообщениями, но в настройках АМИ:

[admin]
secret = amp111
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user
write = system,call,log,verbose,command,agent,user

UPD: это не точно не через ами. ФриПБХ его юзал активно просто.

UPD2: Выловил по логам, взломали через веб-морду. У меня стоит htaccess на папку html и стандартный htaccess на папки admin и maint. Так вот где дыра: чтоб зайти в папку maint надо пройти 2 шага аутентификации, а в папку admin - всего один (тот что maint). В чём глюк?