[GTER] IPTV-PIRATA como origem de DoS

Thu Jun 27 15:35:55 -03 2019

agora as 15:30 varios clientes comecaram a bombardear de ataque 
novamente. upload de 10 a 12 mb.

Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?

Em 27/06/2019 15:21, Marcelo Gondim escreveu:
> Olá pessoal,
>
> Estamos pegando diversos trojans nessas caixas hTV com o antivírus 
> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9 trojans!
>
> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
>
> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
>>
>>> Vamos La, como precisamos testar isso nao teve outro jeito.
>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
>>>
>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
>>> HTV5 novo, mesmo assim resetei ele de fabrica,
>>> somente 2 programa instalei, um chamado braziltv que é onde vem os 
>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
>>> Nenhum programa de VPN nem conteudo adulto nada.
>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao 
>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
>>> entao seja la o que for so de ele estar ligado sem estar aberto nada 
>>> ja é suficiente para ser usado para atacar outros.
>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23 
>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
>>> os canais continuam funcionando o trafego continua sendo gerado 
>>> claro, mas pelo menos nao sai mais pra fora da rede.
>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é 
>>> minha contribuição.
>>>
>>> Faixa de ataques ontem aqui foi
>>> 74.91.113.215
>>> 74.91.117.185
>>> 74.91.121.178
>>> 74.91.123.202
>>> 74.91.125.208
>>> 74.91.113.81
>> Aproveitando monitora esse dispositivo pra ver se está saindo conexão 
>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo daí.
>>>
>>>
>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
>>>> Boa tarde galera.
>>>>
>>>> Aqui começou novamente,.
>>>>
>>>> Mesmo destino (NFO Servers).
>>>> IP e porta destino sempre mudando.
>>>>
>>>>
>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento 
>>>> <wagner at seanet.com.br>
>>>> escreveu:
>>>>
>>>>>
>>>>>
>>>>> No caso nessas últimas ocorrências, o destino aqui também foi esse AS
>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em direção a AWS.
>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha alguma 
>>>>> VPN
>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma 
>>>>> instalada. Pode
>>>>> estar aí o furo.
>>>>>
>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
>>>>> gondim at linuxinfo.com.br> escreveu:
>>>>>
>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
>>>>>>
>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas 
>>>>>>> sofram com
>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou até
>>>>>> bloquear
>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas 
>>>>>>> IPTV. Aqui
>>>>>> no
>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo 
>>>>>>> teremos que
>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha notificações
>>>>>>> informando que estamos originando tais ataques. O interessante é 
>>>>>>> que
>>>>>> está
>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos 
>>>>>>> estados
>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais 
>>>>>>> essas IPTV
>>>>>> se
>>>>>>> conectam e puder compartilhar aqui na lista, seria de grande valia.
>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO AS14586.
>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo 
>>>>>> indica que
>>>>>> tem a ver com servidores de jogos.
>>>>>> https://www.nfoservers.com/
>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
>>>>>>> fischerdouglas at gmail.com> escreveu:
>>>>>>>
>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e 
>>>>>>>> não está
>>>>>>>> sofrendo com isso...
>>>>>>>> -- 
>
>
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter