[GTER] tráfego estranho tvbox

projetos at dipelnet.com.br projetos at dipelnet.com.br
Wed Jun 19 12:07:50 -03 2019


Aqui colocamos o FNM, bloquear ataques para hosts externos, a faixa
74.91.121.0/24 e outros /24 da faixa 74.91.x.x 

Tambem enviamos ao cert.br e as empresas de hosting que sofreram os
ataques,  as analises que realizamos e informando sobre os HTV. 

 ATENCIOSAMENTE, 
RICARDO TESSARO

Em 2019-06-19 11:46, Wagner Bento escreveu:

> Concordo com o Fernando.
> 
> Estamos listando os clientes aqui para enviar uma notificação aos mesmos.
> Acredito que além disso já está fugindo do nosso escopo de ISP.
> 
> Quanto aos ataques, aconteceu o mesmo aqui conosco.
> Coincide o destino e os horários.
> 
> Wagner Junior
> 
> Em qua, 19 de jun de 2019 às 10:46, BinaryCrash <binarycrash at gmail.com>
> escreveu:
> 
> Reativando a conversa, agora aconteceu comigo.
> Recebi emails do CERT sobre ataque DDoS destinados a NFO, fui investigar e
> todos os ips de origem tinham em comum aqueles tvbox, coloquei 1 no switch,
> bloqueei o destino NFO e deixei monitorando os pacotes.
> Fez ataque nesta madrugada, com log, gráfico e tudo documentado.
> 
> Agora o que fazer com estes clientes que tem TVBOX? Tem muitos.
> Alguém comentou sobre substituir o firmware por outro da XDA, acredito que
> deve estar falando do site https://forum.xda-developers.com/android-tv/
> Alguma recomendação pra resolver este abacaxi?
> O que testei foi o HTV e em casos que o cliente não quer se desfazer do
> equipamento eu prefiro uma atualização de firmware do que ficar com esse
> DDoS originando de vários clientes.
> Mas nunca fiz atualização de TVBOX, por isso estou procurando ajuda aqui
> caso alguém tenha informação e/ou experiência pra compartilhar.
> 
> Em qua, 20 de mar de 2019 às 19:26, Wagner Bento <wagner at seanet.com.br>
> escreveu:
> 
> Coincide com  dia 18/03 as 22:05 aqui também.
> 
> Atenciosamente.
> *Wagner Junior*
> 
> Em qua, 20 de mar de 2019 às 16:59, <projetos at dipelnet.com.br> escreveu:
> 
> Estamos analisando o up de outros ASNs o qual fornecemos links,
> 
> e o UP deles estão batendo com o mesmo horário de pico anormal, caso
> possam analisar o trafego de upload
> 
> na data de hoje entre as 13:50 as 13:55 e dia 18/03 as 22:05.
> 
> Obrigado
> 
> ---
> 
> ATENCIOSAMENTE,
> RICARDO TESSARO
> 
> Em 2019-03-20 14:34, André Bellafronte escreveu:
> 
> Fiz uma verificação por amostragem e parece que a maioria das ASN
 desses 

>> endereços são de grandes provedores de computação em nuvem (amazon e
 ovh) 

>> Em qua, 20 de mar de 2019 às 09:50, Wagner Bento <
 wagner at seanet.com.br 

> escreveu:
> 
> E se o cara está enviando seu UP por um link com menos banda? o que
 faz 

> numa desgraça dessas?
> Aqui chegou a quase 2gb de tráfego também...
> 
> Referente a Firewall, quais regras vocês estão utilizando? Porque
 mesmo 

> negando no firewall as conexões não estabelecidas de fora,não
 resolve. 

> Abaixo, a lista recente de IPs que também notamos estes tráfegos
> estranhos...
> 
> 34.235.125.83
> 18.224.17.220
> 52.14.129.57
> 34.228.146.205
> 18.221.17.60
> 3.17.4.144
> 18.224.15.20
> 3.15.44.87
> 3.17.1.14
> 13.59.12.22
> 23.22.61.145
> 18.213.143.27
> 18.222.34.57
> 18.223.11.5
> 34.235.135.35
> 52.14.201.41
> 54.39.52.104
> 100.25.29.73
> 144.217.181.56
> 100.25.129.67
> 13.249.35.17
> 147.135.77.120
> 147.135.78.24
> 147.135.79.32
> 147.135.77.88
> 147.135.77.128
> 147.135.78.128
> 147.135.77.192
> 147.135.77.248
> 147.135.79.16
> 147.135.79.239
> 147.135.77.184
> 3.17.19.16
> 192.169.82.210
> 147.135.77.128/25
> 3.92.195.128/25
> 52.9.85.15
> 54.36.168.0/24
> 35.168.23.0/24
> 198.255.36.98
> 192.169.81.78
> 3.17.8.45
> 3.89.175.175
> 144.217.181.59
> 34.201.15.39
> 18.212.168.64
> 54.39.52.108
> 54.36.168.36
> 54.36.168.180
> 3.91.19.96
> 147.135.40.88
> 3.95.78.167
> 54.39.52.105
> 3.91.45.216
> 54.39.52.106
> 147.135.98.0/25
> 18.214.39.126
> 3.94.21.147
> 3.208.0.45
> 3.89.188.155
> 147.135.37.128/25
> 54.39.52.0/25
> 52.87.78.242
> 3.94.237.134
> 3.92.38.38
> 3.91.172.100
> 3.93.133.251
> 34.205.45.178
> 3.95.95.206
> 3.89.79.220
> 34.201.26.160
> 34.200.18.38
> 18.214.187.84
> 100.27.41.192
> 3.89.16.241
> 35.170.240.139
> 35.168.23.118
> 107.23.75.245
> 18.215.75.176
> 100.24.97.245
> 52.2.241.126
> 66.11.125.128/25
> 18.207.95.7
> 13.52.133.52
> 13.52.136.190
> 23.237.34.18
> 
> Atenciosamente.
> *Wagner Junior*
> 
> Em qua, 20 de mar de 2019 às 05:32, Jader Vieira da Rosa <
> jader at contato.net>
> escreveu:
> 
> Aqui também observamos upload de ~2Gbps em direção aos ips
> 162.254.202.107 <http://162.254.202.107:36001/>
> 162.254.202.125 <http://162.254.202.125:36001/>
> 
> Em ter, 19 de mar de 2019 às 18:31, Wagner Bento <
 wagner at seanet.com.br 

> escreveu:
> 
> Boa tarde... aqui em nossa rede também já percebemos isso...
> 
> Não foi a primeira vez que aconteceu, essas porcarias já vem com
 botnet 

> instalado.
> neste último ocorrido, os destinos foram os IPS:
> 
> 162.254.202.107:36001
> 162.254.202.125:36001
> 
> Confirmamos agora a pouco com outro colega, também aconteceu para os mesmos destinos e porta. 
> Atenciosamente.
> *Wagner Junior*
> 
> Em ter, 19 de mar de 2019 às 15:09, Doug R. M. <
 diagoatalnet at gmail.com 

> escreveu:
> 
> Salve galera,
> 
> Andei fuçando aqui e percebi que está sendo originado um baita  tráfego
> 
> de saída da minha rede. Olhando mais de perto notei que a bagaça é
 com 

> essas
> 
> caixinhas de iptv, essas biroscas tvbox. Alguém mais notou isso?
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter --
> gter list    https://eng.registro.br/mailman/listinfo/gter
  --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
--
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list