[GTER] tráfego estranho tvbox

Wed Jun 19 11:23:31 -03 2019

Olá

Compreendo a sua linha de raciocínio para tentar resolver o problema mas 
atualizar firmware de equipamento de cliente foge muito do escopo das 
responsabilidades do provedor. Além disso o provedor vai estar assumindo 
uma responsabilidade pelo equipamento e qualquer falha ter que comprar 
um novo para o cliente.
Por mais dolorido que seja para o ISP, enfrentar essa situação 
informando ao cliente que ele possui um equipamento que esta sendo fonte 
de origem de ataque DDoS na Internet é a melhor forma na minha visão. O 
ISP tem que estar preparado para enfrentar esta questão e ter 
consciência que se chegar a ter que bloquear a conexão do usuário ele 
está resguardado.

Fernando

On 19/06/2019 08:46, BinaryCrash wrote:
> Reativando a conversa, agora aconteceu comigo.
> Recebi emails do CERT sobre ataque DDoS destinados a NFO, fui investigar e
> todos os ips de origem tinham em comum aqueles tvbox, coloquei 1 no switch,
> bloqueei o destino NFO e deixei monitorando os pacotes.
> Fez ataque nesta madrugada, com log, gráfico e tudo documentado.
>
> Agora o que fazer com estes clientes que tem TVBOX? Tem muitos.
> Alguém comentou sobre substituir o firmware por outro da XDA, acredito que
> deve estar falando do site https://forum.xda-developers.com/android-tv/
> Alguma recomendação pra resolver este abacaxi?
> O que testei foi o HTV e em casos que o cliente não quer se desfazer do
> equipamento eu prefiro uma atualização de firmware do que ficar com esse
> DDoS originando de vários clientes.
> Mas nunca fiz atualização de TVBOX, por isso estou procurando ajuda aqui
> caso alguém tenha informação e/ou experiência pra compartilhar.
>
> Em qua, 20 de mar de 2019 às 19:26, Wagner Bento <wagner at seanet.com.br>
> escreveu:
>
>> Coincide com  dia 18/03 as 22:05 aqui também.
>>
>>
>> Atenciosamente.
>> *Wagner Junior*
>>
>> Em qua, 20 de mar de 2019 às 16:59, <projetos at dipelnet.com.br> escreveu:
>>
>>> Estamos analisando o up de outros ASNs o qual fornecemos links,
>>>
>>> e o UP deles estão batendo com o mesmo horário de pico anormal, caso
>>> possam analisar o trafego de upload
>>>
>>> na data de hoje entre as 13:50 as 13:55 e dia 18/03 as 22:05.
>>>
>>> Obrigado
>>>
>>> ---
>>>
>>>   ATENCIOSAMENTE,
>>> RICARDO TESSARO
>>>
>>> Em 2019-03-20 14:34, André Bellafronte escreveu:
>>>
>>>> Fiz uma verificação por amostragem e parece que a maioria das ASN
>> desses
>>>> endereços são de grandes provedores de computação em nuvem (amazon e
>> ovh)
>>>> Em qua, 20 de mar de 2019 às 09:50, Wagner Bento <wagner at seanet.com.br
>>>> escreveu:
>>>>
>>>> E se o cara está enviando seu UP por um link com menos banda? o que faz
>>>> numa desgraça dessas?
>>>> Aqui chegou a quase 2gb de tráfego também...
>>>>
>>>> Referente a Firewall, quais regras vocês estão utilizando? Porque mesmo
>>>> negando no firewall as conexões não estabelecidas de fora,não resolve.
>>>> Abaixo, a lista recente de IPs que também notamos estes tráfegos
>>>> estranhos...
>>>>
>>>> 34.235.125.83
>>>> 18.224.17.220
>>>> 52.14.129.57
>>>> 34.228.146.205
>>>> 18.221.17.60
>>>> 3.17.4.144
>>>> 18.224.15.20
>>>> 3.15.44.87
>>>> 3.17.1.14
>>>> 13.59.12.22
>>>> 23.22.61.145
>>>> 18.213.143.27
>>>> 18.222.34.57
>>>> 18.223.11.5
>>>> 34.235.135.35
>>>> 52.14.201.41
>>>> 54.39.52.104
>>>> 100.25.29.73
>>>> 144.217.181.56
>>>> 100.25.129.67
>>>> 13.249.35.17
>>>> 147.135.77.120
>>>> 147.135.78.24
>>>> 147.135.79.32
>>>> 147.135.77.88
>>>> 147.135.77.128
>>>> 147.135.78.128
>>>> 147.135.77.192
>>>> 147.135.77.248
>>>> 147.135.79.16
>>>> 147.135.79.239
>>>> 147.135.77.184
>>>> 3.17.19.16
>>>> 192.169.82.210
>>>> 147.135.77.128/25
>>>> 3.92.195.128/25
>>>> 52.9.85.15
>>>> 54.36.168.0/24
>>>> 35.168.23.0/24
>>>> 198.255.36.98
>>>> 192.169.81.78
>>>> 3.17.8.45
>>>> 3.89.175.175
>>>> 144.217.181.59
>>>> 34.201.15.39
>>>> 18.212.168.64
>>>> 54.39.52.108
>>>> 54.36.168.36
>>>> 54.36.168.180
>>>> 3.91.19.96
>>>> 147.135.40.88
>>>> 3.95.78.167
>>>> 54.39.52.105
>>>> 3.91.45.216
>>>> 54.39.52.106
>>>> 147.135.98.0/25
>>>> 18.214.39.126
>>>> 3.94.21.147
>>>> 3.208.0.45
>>>> 3.89.188.155
>>>> 147.135.37.128/25
>>>> 54.39.52.0/25
>>>> 52.87.78.242
>>>> 3.94.237.134
>>>> 3.92.38.38
>>>> 3.91.172.100
>>>> 3.93.133.251
>>>> 34.205.45.178
>>>> 3.95.95.206
>>>> 3.89.79.220
>>>> 34.201.26.160
>>>> 34.200.18.38
>>>> 18.214.187.84
>>>> 100.27.41.192
>>>> 3.89.16.241
>>>> 35.170.240.139
>>>> 35.168.23.118
>>>> 107.23.75.245
>>>> 18.215.75.176
>>>> 100.24.97.245
>>>> 52.2.241.126
>>>> 66.11.125.128/25
>>>> 18.207.95.7
>>>> 13.52.133.52
>>>> 13.52.136.190
>>>> 23.237.34.18
>>>>
>>>> Atenciosamente.
>>>> *Wagner Junior*
>>>>
>>>> Em qua, 20 de mar de 2019 às 05:32, Jader Vieira da Rosa <
>>>> jader at contato.net>
>>>> escreveu:
>>>>
>>>> Aqui também observamos upload de ~2Gbps em direção aos ips
>>>> 162.254.202.107 <http://162.254.202.107:36001/>
>>>> 162.254.202.125 <http://162.254.202.125:36001/>
>>>>
>>>> Em ter, 19 de mar de 2019 às 18:31, Wagner Bento <wagner at seanet.com.br
>>>> escreveu:
>>>>
>>>> Boa tarde... aqui em nossa rede também já percebemos isso...
>>>>
>>>> Não foi a primeira vez que aconteceu, essas porcarias já vem com botnet
>>>> instalado.
>>>> neste último ocorrido, os destinos foram os IPS:
>>>>
>>>> 162.254.202.107:36001
>>>> 162.254.202.125:36001
>>>>
>>>> Confirmamos agora a pouco com outro colega, também aconteceu para os
>>> mesmos destinos e porta.
>>>> Atenciosamente.
>>>> *Wagner Junior*
>>>>
>>>> Em ter, 19 de mar de 2019 às 15:09, Doug R. M. <diagoatalnet at gmail.com
>>>> escreveu:
>>>>
>>>> Salve galera,
>>>>
>>>> Andei fuçando aqui e percebi que está sendo originado um baita
>>>   tráfego
>>>
>>>> de saída da minha rede. Olhando mais de perto notei que a bagaça é com
>>>   essas
>>>
>>>>> caixinhas de iptv, essas biroscas tvbox. Alguém mais notou isso?
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>   --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>   --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter