- Edited
navaismo Gracias! Eso mismo estoy haciendo ahora aunque es esa IP en cuestión y otras más.. En realidad acabo de darme cuenta que ponerle password al http como sugirió hgmnetwork si está funcionando, lo que pasa es que me olvidé de un paso en uno de los servidores afectados ya que este es el ssl_access log de un servidor al que trrataron de entrar pero no pudieron:
89.249.67.50 - - [13/Jun/2017:05:31:39 -0400] "GET / HTTP/1.1" 401 381
213.202.233.77 - - [13/Jun/2017:05:31:39 -0400] "GET /recordings/misc/salem.php HTTP/1.1" 403 227
89.249.67.50 - - [13/Jun/2017:05:44:35 -0400] "GET / HTTP/1.1" 401 381
89.249.67.50 - - [13/Jun/2017:05:58:07 -0400] "GET / HTTP/1.1" 401 381
89.249.67.50 - - [13/Jun/2017:06:11:47 -0400] "GET / HTTP/1.1" 401 381
89.249.67.50 - - [13/Jun/2017:06:23:10 -0400] "GET / HTTP/1.1" 401 381
89.249.67.50 - - [13/Jun/2017:06:34:36 -0400] "GET / HTTP/1.1" 401 381
163.172.68.183 - - [13/Jun/2017:06:34:41 -0400] "GET /a2billing/customer/templates/default/footer.tpl HTTP/1.1" 401 381
216.218.206.68 - - [13/Jun/2017:06:45:01 -0400] "GET / HTTP/1.1" 401 381
89.249.67.50 - - [13/Jun/2017:06:45:38 -0400] "GET / HTTP/1.1" 401 381
216.218.206.68 - - [13/Jun/2017:06:45:46 -0400] "GET / HTTP/1.1" 401 381
89.249.67.50 - - [13/Jun/2017:06:56:28 -0400] "GET / HTTP/1.1" 401 381
89.249.67.50 - - [13/Jun/2017:07:08:26 -0400] "GET / HTTP/1.1" 401 381
89.249.67.50 - - [13/Jun/2017:07:19:34 -0400] "GET / HTTP/1.1" 401 381
89.249.67.50 - - [13/Jun/2017:07:31:06 -0400] "GET / HTTP/1.1" 401 381
89.249.67.50 - - [13/Jun/2017:07:55:53 -0400] "GET / HTTP/1.1" 401 381
Como ves error los intrusos obtienen el error 401 que es UNAUTHORIZED y 403 (FORBIDDEN) no pueden hacer nada. Es una molestia tener que ingresar doble clave (La del servidor Apache y la propia de Elastix / issabel) pero algo que los clientes sabrán entender cuando se les dice que es para evitar intrusos en el sistema.
Adicionalmente todo parece indicar que es a través de los scripts de recordings por donde están vulnerando a Elastix como indicaste.