Gefährlicher Anruf ? "SIP8#"

Hallo,
gestern gegen 22:00 erhielt ich einen Anruf auf das Festnetztelefon (FritzFon M2, FB 7590). Da ich sehbehindert bin konnte ich im Display die Nummer nicht so schnell erkennen. Nachdem ich „Hallo“ sagte wurde die Verbindung noch eine kurze Zeit gehalten, ohne dass geantwortet wurde.
Es klang wie eine normale Verbindung, so als wenn jemand am Telefon war (Atmen), nicht wie eine digitale z.B. Datenverbindung.
Wegen der Umstände habe ich danach in der Anruferliste des FritzFon nachgesehen. Dort stand „SIP8#MEINERUFNUMMER“. Dieser Eintrag war in der Anrufliste der FB nicht zu sehen.

Zu SIP8# konnte ich im Internet nichts finden. Kann jemand dazu erwas sagen? Versuchte jemand auf meine FB zu zugreifen oder darüber zu Telefonieren?

Da in der FB einige Einstellungen auch über Codes z.B. 32# möglich sind, habe ich heute vorsorglich das Backup nach dem letzten Update aufgespielt.

Beste Grüße an alle

Diese Anzeigen treten auf, wenn ein Anruf - ob intern oder extern - von der FritzBox signalisiert, aber nicht korrekt oder vollständig bearbeitet wurde. Die FritzBox vergibt für SIP-Verbindungen interne Kanalbezeichner wie z.B. SIP8#. Wenn ein Anruf technisch unsauber oder sogar missbräuchlich ist (z.B. durch einen automatisierten SIP-Scan eines Bots), liefert er oft nicht alle Informationen, die ein normales Telefongespräch enthalten würde. In solchen Fällen zeigt das FritzFon statt einer Rufnummer oder eines Namens diese internen Bezeichner an.

Interne Gespräche zwischen FritzFon-Geräten werden ebenfalls über SIP-Protokolle abgewickelt, jedoch vollständig lokal innerhalb der FritzBox. Diese Kennungen (SIPx#...) werden dort normalerweise nicht angezeigt - es sei denn, es liegen Signalisierungsfehler, Firmware-Inkompatibilitäten oder Konfigurationsprobleme vor.

Da der Ruf aktiv angenommen wurde, war die Verbindung offensichtlich vollständig aufgebaut. Typische Ursachen wie Race Conditions beim Verbindungsaufbau, Anzeigeartefakte bei verpassten Rufen oder blockierte SIP-Anmeldeversuche scheiden damit als Erklärung aus. Auch ein interner Anruf zwischen FritzFons ist unwahrscheinlich - insbesondere wenn die eigene Rufnummer in der Anzeige erscheint, was eher für einen externen Ursprung spricht.

Als Ursache kommen dann vor allem zwei Dinge in Frage: Entweder ein technischer Fehler (z.B. ein Firmware-Bug oder eine kurzzeitige Störung) oder ein sogenannter Ghost Call - also ein automatisierter Anrufversuch, wie er bei SIP-Scans durch Bots vorkommt. Solche Ghost Calls funktionieren aber nur, wenn deine FritzBox auf einem öffentlichen Port - meist UDP 5060 - aus dem Internet erreichbar ist. Dies ist in der Standardkonfiguration der FritzBox nicht der Fall, kann aber z.B. durch Portfreigaben, UPnP oder IPv6-Fehlkonfiguration dennoch möglich sein.

In einem ersten Schritt sollte überprüft werden, ob die FritzBox über das Internet auf dem SIP-Port 5060 erreichbar ist. Die Webseite https://whatismyipaddress.com zeigt dir deine aktuelle öffentliche IPv4- und ggf. IPv6-Adresse an. Mit https://dnschecker.org/port-scanner.php kannst du testen, ob dieser Port (UDP 5060) von außen erreichbar ist. Wichtig: Teste am besten beide Adressen (IPv4 und IPv6), da beide gleichzeitig aktiv sein können.

Btw: Wir hatten kürzlich ein ähnliches Phänomen in der Arbeit. Nach einem Update unserer Telefonanlage waren wir zunächst von außen nicht mehr telefonisch erreichbar und der Administrator hat bei der Suche nach einem Fix die technische Dokumentation mit den benötigten Ports falsch interpretiert und den Port 5060 von außen auf der Firewall zur Telefonanlage geöffnet. Innerhalb kürzester Zeit hatten wir so viele nicht autorisierte externe Anrufe auf unseren DECT-Geräten, dass alle Leitungen belegt waren und wir gar nicht mehr telefonieren konnten. Die Bezeichner waren auch wie bei dir SIPx# aufgebaut, allerdings wurden hier die angerufenen Rufnummern angegeben und nicht unsere eigenen. Hier war das Problem aber eindeutig ein Konfigurationsfehler, der glücklicherweise durch das DoS Verhalten auch sehr schnell festgestellt wurde. Erstaunlich war es trotzdem, wie schnell das ging.

Danke für diese umfangreiche Aufklärung.
Ich habe die Links ausprobiert und auch gleich abgespeichert.
Bei IPv4 war tatsächlich der Port 5060 offen. Was ich dabei aber nicht verstehe ist, dass dieser Port im der FB nicht als offen angezeigt wird. Soweit ich das bei der FB verstanden habe, sind unübliche Ports erst einmal gesperrt und ich muss sie frei geben. Ich habe den Port aber nicht explizit frei gegeben.
Die einzige Software, die im Bereich 50xx von Haus aus eine Portfreigabe erfordert ist anydesk. Dort werden aber, meine ich, die Ports 5006 -5010 frei gegeben. Ich habe die Portfreigabe für anydesk aber in einem anderen Bereich vorgenommen.
Wie kann ich feststellen, welches Programm auf den Port 5060 zugreift?

ist hier auch so, aber wird auch angezeigt, allerdings unter „Diagnose“ → „Sicherheit“–>

Screenshot_20250518-1916401080×1269 169 KB

bei „Bearbeiten“ landet man auf den eingerichteten SIP-Telefonnummern, die in meinem Fall vom Provider bereitgestellt werden →

Screenshot_20250518-1917431080×674 51.7 KB

irgendwie müssen Anrufe von außen auch eingehen können, wobei allerdings fraglich ist, ob der Port der Box auf Anfragen anderer Server, als derjenigen, bei denen Rufnummern registriert sind, als „offen“ erscheinen sollte, bei Port 443 kommt ein „Timed-Out“, der ist aber auch nicht von außen als erreichbar eingestellt.
(k.A., ob eingehende Anrufe über die eingestellten SIP-Server kommen müssen, imho eigentlich schon)

Ich wusste nicht, dass es unter (bei mir) Diagnose/Sicherheit noch weitere Informationen zu geöffneten Ports gibt. Ich hatte angenommen, dass sämtliche geöffneten Port zentral unter Internet/Freigaben/Portfreigaben angezeigt werden, was ich auch für vernünftiger halten würde.
Bei mir ist 5060 auch für Telefonie mit den gleichen Diensten eingetragen. Mein Anbieter ist u.a. auch 1&1. Ob die Portfreigabe nur bei 1&1 erfolgt oder bei jedem Internet-Telefonieanbieter, versuche ich noch zu klären.

Ich hatte gleichzeitig AVM angeschrieben. Dort soll ich jetzt eine erweiterte Support-Datei einreichen. Wenn ich danach näheres weß, poste ich es.

Die Fritzbox fungiert als SIP-Client und baut selbst eine Verbindung zum SIP-Provider auf. Diese Verbindung wird dann offen gehalten und ein ankommendes Gespräch wird über diese bestehende Verbindung aufgebaut. Dazu muss der Port 5060 auf der Fritzbox nicht geöffnet sein. Gibt es interne Geräte, die über UPnP selbst den Port 5060 auf der Fritzbox öffnen können? Kannst du dein internes Netzwerk nach dem Port 5060 scannen, ob dort etwas lauscht? Dieses Gerät könnte dann ggf. die Fritzbox anweisen über UPnP den Port extern zu öffnen und dorthin weiterzuleiten.

nmap -p 5060 -sU 192.168.178.0/24 Wichtig: Die ersten drei Oktetts (192.168.178) sollten dem internen Netzwerk entsprechen. In der Regel sind dies aber die Standardadressen, die von der Fritzbox vergeben werden.

Es sollten keine Portfreigaben für irgendwelche Geräte in den Heimnetzen sein, die Box händelt das selbst.

Habe jetzt alle drei Boxen hier und deren Netze gescannt.

Intern kommt bei allen Boxen
5060/udp open/filtered sip

Von extern auf die myFritz-Adresse dasselbe, aber nur, wenn externe SIP-Nummern registriert sind, auch wird nur dann bei Diagnose der Port als vom Internet her als geöffnet angezeigt.

Ebenso bei allen anderen erkannten Geräte in den Netzen wurde der Port als closed gescannt.

Tests erfolgten mit 7510 und zweimal 7590 (Fritz!OS 8.02, 8.03 und 8.10).

Die Boxen sind so eingestellt, daß keine Freigaben durch Heimgeräte erfolgen sollten.

An allen Boxen sind intern SIP-Telefone eingerichtet (ein Funktionierendes im Mobilfunknetz mit AFWall+ und WireGuard-Tunnel zu der 7590 an DSL, angemeldet an allen drei Boxen, die mit RethinkDNS und WireGuard-Proxy tun es leider nicht richtig, Anklingeln durch die funktioniert, aber das wars auch, egal, wie deren Internetzugang ist, zwei der Boxen hängen derzeit per WireGuard-Tunnel an der 7590 mit DSL, davon eine Mobil, die andere am Kabel)

ist hier auch so, irgendwie war mir beim Schreiben so, als ob das unter System zu finden sei, ohne mich nochmal zu vergewissern, habs jetzt oben mal korrigiert

Ich habe die Analyse von AVM erhalten. Der Einfachheit halber poste ich den Text:
(hier hatte ich noch wegen des Eintrags unter Diagnose/Sicherheit nachgefragt)
Zunächst aber zu Ihrer aktuellen Frage. Bei dem Port 5060 handelt es sich um den Standard SIP Port, welcher auch von der FRITZ!Box für die Telefonie genutzt wird. Um eingehend erreichbar zu sein, muss dieser Port geöffnet sein.

Zu dem geschilderten Ruf. Dieser lässt sich in den Daten leider nicht mehr nachvollziehen. Dazu liegt der Ruf zu lange zurück und im anschluss scheint auch ein Backup eingespielt worden zu sein (ich hatte mitgeteilt, dass ich aus Sicherheitsgründen das Backup aufgespielt hatte). Konkret lässt sich zu diesem daher nichts sagen. Die Angabe SIP8 bezieht sich aber auf den 8 in der FRITZ!Box eingerichteten SIP-Account. Also dem Account der Nummer xxxxx2 in Ihrem Fall. Eine solche Anzeige kann in seltenen Fällen bei ungünstigen Konstellationen entstehen. Bei anderen Fällen schien da z.B. exakt zeitgleich ein weiterer Ruf einzugehen. Diese Anzeige ist aber auf jeden Fall nichts problematisches und hat auch keinen sicherheitsrelevanten Hintergrund.

Danke für die Info.
Wäre interessant gewesen, was die sehen hätten können.

Ist Port 5060 nur für das LAN offen oder auch für WAN? Letzteres sollte nämlich nicht nötig sein.

Das ist auch mein Kenntnisstand…

Ich verstehe die Antwort von AVM so, dass 5060 aus dem Internet erreichbar sein muss. Das ist auch mein Kenntnisstand aus der Installation von SIP-Software auf dem PC. Details hier: https://de.wikipedia.org/wiki/Session_Initiation_Protocol

Ja, richtig. Sonst kann man keine Anrufe empfangen.

Auf der FB unter Diagnose/Sicherheit werden wohl alle Portfreigaben angezeigt, die man nicht händisch eingegeben hat.Die also z.B. bei einer Softwareinstallation vom Programm frei gegeben werden. Sollte man daher regelmäßig überprüfen.

Dieses Thema beschäftigt mich schon seit vielen Jahren. Quasi seit ich VoIP benutze. Genau so lange begegnen mir 2 Gruppen. Die eine die immer wieder berichten ohne Freigabe ist nichts mit telefonieren und die anderen die darauf beharren das muss nicht zwingend nötig sein. Ich gehöre zur letzteren

Eckdaten, was kommt bei mir zum Einsatz.

• Fritzbox 7590
• Firewall
• IPv4 only
• Mehrere Telefonnummern, alle Telekom

Ich kann hier von 2 Gegebenheiten berichten, eine die ich zu 100% nachvollziehen kann und eine auf das ich mich aus dem Gedächtnis berufen muss.

Ich betreibe meine Fritzbox (im Client Mode) seit vielen Jahren hinter einer Firewall. Die Fritzbox fristet lediglich ihr Dasein als Telefonie Box. Sie wird strikt geregelt durch die vorgeschaltete Firewall und hier kann ich mit absoluter Gewissheit sagen, von außen (WAN) ist meine Box nicht erreichbar. Auf keinem einzigen Port. Dennoch funktioniert die Telefonie absolut ohne irgendwelche Probleme. Ich halte daher die Aussage pauschal ausgesprochen für definitiv falsch. Die Fritzbox muss nicht grundsätzlich die Ports in Richtung WAN offen haben

Kommen wir zu meinem Gedächtnis. Soweit ich mich erinnere macht die Fritzbox im Router-Modus die Ports (WAN seitig) Grundsätzlich auf sobald man Telefonie (VoIP) benutzt. Das würde sich auch mit Aussagen decken die andere bereits getätigt haben. Falls dem also so ist, kannst du ohnehin bei deiner Betriebsart nichts an den offenen Ports machen. Es müsste aber nicht grundsätzlich zwingend sein, wie ich in meinem Fall geschildert habe.

Ich hänge mal noch einen Screenshot ran. Das sieht im meinem Fall unspektakulär aus. Da ich Verschlüsselung bei der Telefonie in der Fritzbox aktiviert habe, müsste für mein Verständnis sowieso nicht immer behauptet werden 5060 ist zwingend nötig.

Wie man also sieht es gibt nichts zu sehen Die besagten Ports sind nicht erreichbar. Aber das wusste ich auch ohne Scanner

voip-ports1446×296 44.9 KB

Einen Vorschlag hätte ich noch was möglicherweise zukünftig bei ähnlichen Fall zur Aufklärung beitragen könnte. Rückwirkend geht ja leider nicht mehr weil du etwas zu spontan durchs Rücksetzen die Infos dazu selbst entzogen hast. Wie du selbst sagst, ist ja ein Gespräch zustande gekommen. Wenn du also nichts in der Anrufliste dazu finden kannst, wäre mein erster Blick unter Telefonie → Eigene Rufnummern → Sprachübertragung zu schauen. Dort findest du geordnet nach Rufnummern Infos bzw. solltest finden.

Meine Antwort ging von der Standardsituation aus, dass die Fritzbox den Internetzugang bereitstellt. Natürlich kann man sie auch im Lan irgendwo dahinter hängen. Es ändert aber nichts daran, dass eingehende Telefonie die Ports 5060/5061 benötigt.
Dein Bild zeigt zwei offene Ports im „Stealth“ Modus. Die sind trotzdem offen. Die antworten bloss nicht protokollgerecht. Ob der stealth modus sinnvoll ist oder nicht, ist umstritten, aber hier auch nicht Thema.
Wenn Du Verschlüsselung benutzt, ist Port 5061 relevant. Bei Dir sind beide Ports offen.

Dass sie von WAN-Seite offen sind geht aus dem Bild eben nicht hervor. Wenn er eine eigene Firewall vor der Fritzbox vorgelagert hat, wird er ja wohl wissen, welche Ports in seiner Firewall offen sind und welche nicht.

Ich glaube kaum, dass @tulpenknicker einen Portscanner im LAN betreibt. Das Bild stammt von einem Scanner aus dem Internet, also zeigt es den Zustand seiner Firewall von außen (WAN). Die Ports sind eindeutig offen. Ansonsten wäre seine Fritte per voip auch nicht erreichbar.

Ich glaube wir reden aneinander vorbei. Ich meinte explizit von WAN-Seite aus. Gibt die Fritzbox denn an, aus welchem Netzwerk aus die Ports standardmäßig offen sind?

Die Ports müssen aus dem Internet erreichbar sein, sonst funktioniert voip nicht. Bei mir sind sie es, bei Sammy sind sie es und bei Tulpenknicker sind sie es auch.

Nun, ich sagte ja ich treffe immer wieder bei dem Thema auf 2 Gruppen. Das sich aber Teilnehmer erdreisten mir zu erklären wie ich mein Equipment konfiguriert habe das ist mir völlig neu.

@kuketzblog Das ist einer der wenigen Momente wo ich mir doch Reaktionen in Discourse wieder wünschen würde…