[GTER] IPTV-PIRATA como origem de DoS

[Francisco V Brasileiro]

Jonni,

Você pode fazer um sniffer na porta 53 e verificar quais hosts ele ta
consultando. Talvez com isso possamos identificar qual o C&C e melhorar os
filtros/ações junto ao AS.

______________________________________________________________________
Francisco Vasconcelos Brasileiro             francisco at brasileiro.adm.br
UIN: 6826562                                          Linux User: #101368


Em qui, 27 de jun de 2019 às 10:39, Jonni Pianezzer <
jhonnyp at deltaativa.com.br> escreveu:

> Vamos La, como precisamos testar isso nao teve outro jeito.
> Sim eu odeio esses Aparelhos igual a todos aqui da lista
>
> Coloquei um HTV5 atras de uma Mikrotik para analisar.
> HTV5 novo, mesmo assim resetei ele de fabrica,
> somente 2 programa instalei, um chamado braziltv que é onde vem os
> canais, e outro chamado Cine que é tipo filmes lancamentos.
> Nenhum programa de VPN nem conteudo adulto nada.
> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
> sim deixei ele ligado, mas observacao, ele esta ligado mas nao estava
> rodando nenhum canal, somente na tele inicial do aparelho,
> entao seja la o que for so de ele estar ligado sem estar aberto nada ja
> é suficiente para ser usado para atacar outros.
> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23 vindo
> do ip do HTV e mandei pra uma lista os ips destinos,
> os canais continuam funcionando o trafego continua sendo gerado claro,
> mas pelo menos nao sai mais pra fora da rede.
> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é minha
> contribuição.
>
> Faixa de ataques ontem aqui foi
> 74.91.113.215
> 74.91.117.185
> 74.91.121.178
> 74.91.123.202
> 74.91.125.208
> 74.91.113.81
>
>
> Em 26/06/2019 15:48, Wagner Bento escreveu:
> > Boa tarde galera.
> >
> > Aqui começou novamente,.
> >
> > Mesmo destino (NFO Servers).
> > IP e porta destino sempre mudando.
> >
> >
> > Em qua, 26 de jun de 2019 às 13:42, Wagner Bento <wagner at seanet.com.br>
> > escreveu:
> >
> >>
> >>
> >> No caso nessas últimas ocorrências, o destino aqui também foi esse AS
> >> mesmo, porém das últimas vezes aqui, também ocorreu em direção a AWS.
> >> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha alguma VPN
> >> instalada? Pelo o que vejo, algumas até já vem com alguma instalada.
> Pode
> >> estar aí o furo.
> >>
> >> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
> >> gondim at linuxinfo.com.br> escreveu:
> >>
> >>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
> >>>
> >>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas sofram
> com
> >>>> isso. Já observei aqui na lista relatos onde o pessoal chegou até
> >>> bloquear
> >>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas IPTV. Aqui
> >>> no
> >>>> provedor estamos tratando IP por IP, mas acredito que logo teremos que
> >>>> bloquear /24 também. Seguidamente o CERTBR encaminha notificações
> >>>> informando que estamos originando tais ataques. O interessante é que
> >>> está
> >>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos estados
> >>>> unidos. Se algum colega tiver alguma lista de IPS nos quais essas IPTV
> >>> se
> >>>> conectam e puder compartilhar aqui na lista, seria de grande valia.
> >>> Com a gente aqui os ataques foram todos direcionados à NFO AS14586.
> >>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo indica
> que
> >>> tem a ver com servidores de jogos.
> >>> https://www.nfoservers.com/
> >>> O IP atacado faz parte do bloco 74.91.113.0/24
> >>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
> >>>> fischerdouglas at gmail.com> escreveu:
> >>>>
> >>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e não
> está
> >>>>> sofrendo com isso...
>
>