[GTER] IPTV-PIRATA como origem de DoS

Victor Hugo Rebollo de Moura victorhugormoura at gmail.com
Thu Jun 27 13:00:16 -03 2019


Seria uma sonho se realizando, mais ai vem a pergunta.
Não fere o Marco Civil da Internet, por mais que seja por uma "boa causa"
Pois se o cliente é responsável pela própria conexão, o bloqueio pra esses
IPs deveriam ser realizados
apenas a pedido do cliente... Certo? Ou por meios jurídicos, mais esse
ultimo é praticamente impossível.

Em qui, 27 de jun de 2019 às 12:30, Francisco V Brasileiro <
francisco at brasileiro.adm.br> escreveu:

> Jonni,
>
> Você pode fazer um sniffer na porta 53 e verificar quais hosts ele ta
> consultando. Talvez com isso possamos identificar qual o C&C e melhorar os
> filtros/ações junto ao AS.
>
> ______________________________________________________________________
> Francisco Vasconcelos Brasileiro             francisco at brasileiro.adm.br
> UIN: 6826562                                          Linux User: #101368
>
>
> Em qui, 27 de jun de 2019 às 10:39, Jonni Pianezzer <
> jhonnyp at deltaativa.com.br> escreveu:
>
> > Vamos La, como precisamos testar isso nao teve outro jeito.
> > Sim eu odeio esses Aparelhos igual a todos aqui da lista
> >
> > Coloquei um HTV5 atras de uma Mikrotik para analisar.
> > HTV5 novo, mesmo assim resetei ele de fabrica,
> > somente 2 programa instalei, um chamado braziltv que é onde vem os
> > canais, e outro chamado Cine que é tipo filmes lancamentos.
> > Nenhum programa de VPN nem conteudo adulto nada.
> > e mesmo assim o HTV ja iniciou mandando altos upload hehe,
> > Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
> > sim deixei ele ligado, mas observacao, ele esta ligado mas nao estava
> > rodando nenhum canal, somente na tele inicial do aparelho,
> > entao seja la o que for so de ele estar ligado sem estar aberto nada ja
> > é suficiente para ser usado para atacar outros.
> > No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23 vindo
> > do ip do HTV e mandei pra uma lista os ips destinos,
> > os canais continuam funcionando o trafego continua sendo gerado claro,
> > mas pelo menos nao sai mais pra fora da rede.
> > Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é minha
> > contribuição.
> >
> > Faixa de ataques ontem aqui foi
> > 74.91.113.215
> > 74.91.117.185
> > 74.91.121.178
> > 74.91.123.202
> > 74.91.125.208
> > 74.91.113.81
> >
> >
> > Em 26/06/2019 15:48, Wagner Bento escreveu:
> > > Boa tarde galera.
> > >
> > > Aqui começou novamente,.
> > >
> > > Mesmo destino (NFO Servers).
> > > IP e porta destino sempre mudando.
> > >
> > >
> > > Em qua, 26 de jun de 2019 às 13:42, Wagner Bento <wagner at seanet.com.br
> >
> > > escreveu:
> > >
> > >>
> > >>
> > >> No caso nessas últimas ocorrências, o destino aqui também foi esse AS
> > >> mesmo, porém das últimas vezes aqui, também ocorreu em direção a AWS.
> > >> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha alguma VPN
> > >> instalada? Pelo o que vejo, algumas até já vem com alguma instalada.
> > Pode
> > >> estar aí o furo.
> > >>
> > >> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
> > >> gondim at linuxinfo.com.br> escreveu:
> > >>
> > >>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
> > >>>
> > >>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas sofram
> > com
> > >>>> isso. Já observei aqui na lista relatos onde o pessoal chegou até
> > >>> bloquear
> > >>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas IPTV.
> Aqui
> > >>> no
> > >>>> provedor estamos tratando IP por IP, mas acredito que logo teremos
> que
> > >>>> bloquear /24 também. Seguidamente o CERTBR encaminha notificações
> > >>>> informando que estamos originando tais ataques. O interessante é que
> > >>> está
> > >>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
> estados
> > >>>> unidos. Se algum colega tiver alguma lista de IPS nos quais essas
> IPTV
> > >>> se
> > >>>> conectam e puder compartilhar aqui na lista, seria de grande valia.
> > >>> Com a gente aqui os ataques foram todos direcionados à NFO AS14586.
> > >>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo indica
> > que
> > >>> tem a ver com servidores de jogos.
> > >>> https://www.nfoservers.com/
> > >>> O IP atacado faz parte do bloco 74.91.113.0/24
> > >>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
> > >>>> fischerdouglas at gmail.com> escreveu:
> > >>>>
> > >>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e não
> > está
> > >>>>> sofrendo com isso...
> >
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 

*Victor Hugo R. Moura*





*Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified Network
AssociateLinux Professional InstituteMikroTik RouterOS Solution*
*Network Security Consulting*

*VyOS BGP Router Certification*

*+55 18 99653-5921 (WhatsApp)*
*+55 18 98179-7100*

*E-Mail 1: victorhugormoura at gmail.com <victorhugormoura at gmail.com>*
*(Skype)*
*E-Mail 2: victorh at grootha.com.br <victorh at grootha.com.br>*


*E-Mail 3: victorhugo at adastel.com.br <victorhugo at adastel.com.br>E-Mail 4:
victorhugo at rostelecom.com.br <victorhugo at rostelecom.com.br> **E-Mail
5: victorh at tvcsa.com.br <victorh at tvcsa.com.br>*
*E-Mail 6: victormoura at migonet.com.br <victormoura at migonet.com.br>*

*"Tudo é impossível até que se torne possível"*


More information about the gter mailing list