[GTER] tráfego estranho tvbox

BinaryCrash binarycrash at gmail.com
Wed Jun 19 08:46:59 -03 2019


Reativando a conversa, agora aconteceu comigo.
Recebi emails do CERT sobre ataque DDoS destinados a NFO, fui investigar e
todos os ips de origem tinham em comum aqueles tvbox, coloquei 1 no switch,
bloqueei o destino NFO e deixei monitorando os pacotes.
Fez ataque nesta madrugada, com log, gráfico e tudo documentado.

Agora o que fazer com estes clientes que tem TVBOX? Tem muitos.
Alguém comentou sobre substituir o firmware por outro da XDA, acredito que
deve estar falando do site https://forum.xda-developers.com/android-tv/
Alguma recomendação pra resolver este abacaxi?
O que testei foi o HTV e em casos que o cliente não quer se desfazer do
equipamento eu prefiro uma atualização de firmware do que ficar com esse
DDoS originando de vários clientes.
Mas nunca fiz atualização de TVBOX, por isso estou procurando ajuda aqui
caso alguém tenha informação e/ou experiência pra compartilhar.

Em qua, 20 de mar de 2019 às 19:26, Wagner Bento <wagner at seanet.com.br>
escreveu:

> Coincide com  dia 18/03 as 22:05 aqui também.
>
>
> Atenciosamente.
> *Wagner Junior*
>
> Em qua, 20 de mar de 2019 às 16:59, <projetos at dipelnet.com.br> escreveu:
>
> > Estamos analisando o up de outros ASNs o qual fornecemos links,
> >
> > e o UP deles estão batendo com o mesmo horário de pico anormal, caso
> > possam analisar o trafego de upload
> >
> > na data de hoje entre as 13:50 as 13:55 e dia 18/03 as 22:05.
> >
> > Obrigado
> >
> > ---
> >
> >  ATENCIOSAMENTE,
> > RICARDO TESSARO
> >
> > Em 2019-03-20 14:34, André Bellafronte escreveu:
> >
> > > Fiz uma verificação por amostragem e parece que a maioria das ASN
> desses
> > > endereços são de grandes provedores de computação em nuvem (amazon e
> ovh)
> > >
> > > Em qua, 20 de mar de 2019 às 09:50, Wagner Bento <wagner at seanet.com.br
> >
> > > escreveu:
> > >
> > > E se o cara está enviando seu UP por um link com menos banda? o que faz
> > > numa desgraça dessas?
> > > Aqui chegou a quase 2gb de tráfego também...
> > >
> > > Referente a Firewall, quais regras vocês estão utilizando? Porque mesmo
> > > negando no firewall as conexões não estabelecidas de fora,não resolve.
> > > Abaixo, a lista recente de IPs que também notamos estes tráfegos
> > > estranhos...
> > >
> > > 34.235.125.83
> > > 18.224.17.220
> > > 52.14.129.57
> > > 34.228.146.205
> > > 18.221.17.60
> > > 3.17.4.144
> > > 18.224.15.20
> > > 3.15.44.87
> > > 3.17.1.14
> > > 13.59.12.22
> > > 23.22.61.145
> > > 18.213.143.27
> > > 18.222.34.57
> > > 18.223.11.5
> > > 34.235.135.35
> > > 52.14.201.41
> > > 54.39.52.104
> > > 100.25.29.73
> > > 144.217.181.56
> > > 100.25.129.67
> > > 13.249.35.17
> > > 147.135.77.120
> > > 147.135.78.24
> > > 147.135.79.32
> > > 147.135.77.88
> > > 147.135.77.128
> > > 147.135.78.128
> > > 147.135.77.192
> > > 147.135.77.248
> > > 147.135.79.16
> > > 147.135.79.239
> > > 147.135.77.184
> > > 3.17.19.16
> > > 192.169.82.210
> > > 147.135.77.128/25
> > > 3.92.195.128/25
> > > 52.9.85.15
> > > 54.36.168.0/24
> > > 35.168.23.0/24
> > > 198.255.36.98
> > > 192.169.81.78
> > > 3.17.8.45
> > > 3.89.175.175
> > > 144.217.181.59
> > > 34.201.15.39
> > > 18.212.168.64
> > > 54.39.52.108
> > > 54.36.168.36
> > > 54.36.168.180
> > > 3.91.19.96
> > > 147.135.40.88
> > > 3.95.78.167
> > > 54.39.52.105
> > > 3.91.45.216
> > > 54.39.52.106
> > > 147.135.98.0/25
> > > 18.214.39.126
> > > 3.94.21.147
> > > 3.208.0.45
> > > 3.89.188.155
> > > 147.135.37.128/25
> > > 54.39.52.0/25
> > > 52.87.78.242
> > > 3.94.237.134
> > > 3.92.38.38
> > > 3.91.172.100
> > > 3.93.133.251
> > > 34.205.45.178
> > > 3.95.95.206
> > > 3.89.79.220
> > > 34.201.26.160
> > > 34.200.18.38
> > > 18.214.187.84
> > > 100.27.41.192
> > > 3.89.16.241
> > > 35.170.240.139
> > > 35.168.23.118
> > > 107.23.75.245
> > > 18.215.75.176
> > > 100.24.97.245
> > > 52.2.241.126
> > > 66.11.125.128/25
> > > 18.207.95.7
> > > 13.52.133.52
> > > 13.52.136.190
> > > 23.237.34.18
> > >
> > > Atenciosamente.
> > > *Wagner Junior*
> > >
> > > Em qua, 20 de mar de 2019 às 05:32, Jader Vieira da Rosa <
> > > jader at contato.net>
> > > escreveu:
> > >
> > > Aqui também observamos upload de ~2Gbps em direção aos ips
> > > 162.254.202.107 <http://162.254.202.107:36001/>
> > > 162.254.202.125 <http://162.254.202.125:36001/>
> > >
> > > Em ter, 19 de mar de 2019 às 18:31, Wagner Bento <wagner at seanet.com.br
> >
> > > escreveu:
> > >
> > > Boa tarde... aqui em nossa rede também já percebemos isso...
> > >
> > > Não foi a primeira vez que aconteceu, essas porcarias já vem com botnet
> > > instalado.
> > > neste último ocorrido, os destinos foram os IPS:
> > >
> > > 162.254.202.107:36001
> > > 162.254.202.125:36001
> > >
> > > Confirmamos agora a pouco com outro colega, também aconteceu para os
> > mesmos destinos e porta.
> > >
> > > Atenciosamente.
> > > *Wagner Junior*
> > >
> > > Em ter, 19 de mar de 2019 às 15:09, Doug R. M. <diagoatalnet at gmail.com
> > > escreveu:
> > >
> > > Salve galera,
> > >
> > > Andei fuçando aqui e percebi que está sendo originado um baita
> >  tráfego
> >
> > > de saída da minha rede. Olhando mais de perto notei que a bagaça é com
> >  essas
> >
> > >> caixinhas de iptv, essas biroscas tvbox. Alguém mais notou isso?
> > >> --
> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >  --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >  --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list