[GTER] IPTV-PIRATA como origem de DoS

Marcelo Gondim gondim at linuxinfo.com.br
Thu Jun 27 15:21:59 -03 2019


Olá pessoal,

Estamos pegando diversos trojans nessas caixas hTV com o antivírus ESET. 
Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9 trojans!

[1] https://uploaddeimagens.com.br/imagens/htv-jpg

Em 27/06/2019 11:52, Marcelo Gondim escreveu:
> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
>
>> Vamos La, como precisamos testar isso nao teve outro jeito.
>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
>>
>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
>> HTV5 novo, mesmo assim resetei ele de fabrica,
>> somente 2 programa instalei, um chamado braziltv que é onde vem os 
>> canais, e outro chamado Cine que é tipo filmes lancamentos.
>> Nenhum programa de VPN nem conteudo adulto nada.
>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao estava 
>> rodando nenhum canal, somente na tele inicial do aparelho,
>> entao seja la o que for so de ele estar ligado sem estar aberto nada 
>> ja é suficiente para ser usado para atacar outros.
>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23 
>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
>> os canais continuam funcionando o trafego continua sendo gerado 
>> claro, mas pelo menos nao sai mais pra fora da rede.
>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é 
>> minha contribuição.
>>
>> Faixa de ataques ontem aqui foi
>> 74.91.113.215
>> 74.91.117.185
>> 74.91.121.178
>> 74.91.123.202
>> 74.91.125.208
>> 74.91.113.81
> Aproveitando monitora esse dispositivo pra ver se está saindo conexão 
> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo daí.
>>
>>
>> Em 26/06/2019 15:48, Wagner Bento escreveu:
>>> Boa tarde galera.
>>>
>>> Aqui começou novamente,.
>>>
>>> Mesmo destino (NFO Servers).
>>> IP e porta destino sempre mudando.
>>>
>>>
>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento <wagner at seanet.com.br>
>>> escreveu:
>>>
>>>>
>>>>
>>>> No caso nessas últimas ocorrências, o destino aqui também foi esse AS
>>>> mesmo, porém das últimas vezes aqui, também ocorreu em direção a AWS.
>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha alguma VPN
>>>> instalada? Pelo o que vejo, algumas até já vem com alguma 
>>>> instalada. Pode
>>>> estar aí o furo.
>>>>
>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
>>>> gondim at linuxinfo.com.br> escreveu:
>>>>
>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
>>>>>
>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas 
>>>>>> sofram com
>>>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou até
>>>>> bloquear
>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas IPTV. 
>>>>>> Aqui
>>>>> no
>>>>>> provedor estamos tratando IP por IP, mas acredito que logo 
>>>>>> teremos que
>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha notificações
>>>>>> informando que estamos originando tais ataques. O interessante é que
>>>>> está
>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos 
>>>>>> estados
>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais essas 
>>>>>> IPTV
>>>>> se
>>>>>> conectam e puder compartilhar aqui na lista, seria de grande valia.
>>>>> Com a gente aqui os ataques foram todos direcionados à NFO AS14586.
>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo 
>>>>> indica que
>>>>> tem a ver com servidores de jogos.
>>>>> https://www.nfoservers.com/
>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
>>>>>> fischerdouglas at gmail.com> escreveu:
>>>>>>
>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e 
>>>>>>> não está
>>>>>>> sofrendo com isso...
>>>>>>> -- 




More information about the gter mailing list