[GTER] IPTV-PIRATA como origem de DoS
Alexandre Pires Avilla [Dominioz Telecom]
ale.avilla at dominioz.com.br
Thu Jun 27 16:33:26 -03 2019
Uma coisa que notei em um cliente com este equipamento HTV,
Varias conexões para múltiplos destinos com a porta 5555
tool torch <pppoe-*****> port=5555
SRC-PORT
DST-PORT
TX
RX TX-PACKETS RX-PACKETS
34079
5555
0bps
56.3kbps 0 160
0bps
56.3kbps 0 160
tool torch <pppoe-*****> port=any
SRC-PORT DST-PORT
TX RX TX-PACKETS
RX-PACKETS
32769 88 (kerberos)
0bps 480bps 0
1
43521 8000
0bps 480bps 0
1
46081 88 (kerberos)
0bps 480bps 0
1
46337 8000
0bps 480bps 0
1
59649 8000
0bps 480bps 0
1
46338 80 (http)
0bps 0bps 0
0
42755 88 (kerberos)
0bps 0bps 0
0
45315 8000
0bps 480bps 0
1
42757 88 (kerberos)
0bps 480bps 0
1
45061 88 (kerberos)
0bps 0bps 0
0
46597 81
0bps 480bps 0
1
50437 8000
0bps 0bps 0
0
36102 8000
0bps 0bps 0
0
43015 88 (kerberos)
0bps 480bps 0
1
40712 80 (http)
0bps 0bps 0
0
36617 8000
0bps 0bps 0
0
57353 80 (http)
416bps 416bps 1
1
38411 8080 (http-alt)
0bps 0bps 0
0
38156 81
0bps 480bps 0
1
34317 81
0bps 0bps 0
0
47117 81
0bps 0bps 0
0
47373 88 (kerberos)
0bps 480bps 0
1
50445 81
0bps 0bps 0
0
40463 8080 (http-alt)
0bps 480bps 0
1
41999 8080 (http-alt)
0bps 480bps 0
1
37648 80 (http)
0bps 0bps 0
0
38416 80 (http)
0bps 0bps 0
0
38929 8000
0bps 0bps 0
0
42514 8080 (http-alt)
0bps 0bps 0
0
tool torch <pppoe-*****>
TX RX TX-PACKETS RX-PACKETS
97.0kbps 123.2kbps 53 259
97.0kbps 123.2kbps 53 259
-- [Q quit|D dump|C-z pause]
Atenciosamente,
Alexandre Pires Avilla
Gerente de Tecnologia e Redes
Dominioz Serviços de Telecomunicações Ltda
TargetNet - Banda Larga - www.targetnet.com.br
Vale Link - Acesso Dedicado - www.valelink.com.br
Dominioz - Hospedagem de sites - www.dominioz.com.br
Rua Dr. Gustavo de Godoy, 201
Pindamonhangaba/SP
Central de Atendimento:
Pindamonhangaba [12] 3645.4975
Outras Localidades 0800.940.4975
Mobile: [12] 99745.9679
Em qui, 27 de jun de 2019 às 12:30, Marcelo Gondim <gondim at linuxinfo.com.br>
escreveu:
> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
>
> > Vamos La, como precisamos testar isso nao teve outro jeito.
> > Sim eu odeio esses Aparelhos igual a todos aqui da lista
> >
> > Coloquei um HTV5 atras de uma Mikrotik para analisar.
> > HTV5 novo, mesmo assim resetei ele de fabrica,
> > somente 2 programa instalei, um chamado braziltv que é onde vem os
> > canais, e outro chamado Cine que é tipo filmes lancamentos.
> > Nenhum programa de VPN nem conteudo adulto nada.
> > e mesmo assim o HTV ja iniciou mandando altos upload hehe,
> > Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
> > sim deixei ele ligado, mas observacao, ele esta ligado mas nao estava
> > rodando nenhum canal, somente na tele inicial do aparelho,
> > entao seja la o que for so de ele estar ligado sem estar aberto nada
> > ja é suficiente para ser usado para atacar outros.
> > No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
> > vindo do ip do HTV e mandei pra uma lista os ips destinos,
> > os canais continuam funcionando o trafego continua sendo gerado claro,
> > mas pelo menos nao sai mais pra fora da rede.
> > Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
> > minha contribuição.
> >
> > Faixa de ataques ontem aqui foi
> > 74.91.113.215
> > 74.91.117.185
> > 74.91.121.178
> > 74.91.123.202
> > 74.91.125.208
> > 74.91.113.81
> Aproveitando monitora esse dispositivo pra ver se está saindo conexão
> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo daí.
> >
> >
> > Em 26/06/2019 15:48, Wagner Bento escreveu:
> >> Boa tarde galera.
> >>
> >> Aqui começou novamente,.
> >>
> >> Mesmo destino (NFO Servers).
> >> IP e porta destino sempre mudando.
> >>
> >>
> >> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento <wagner at seanet.com.br>
> >> escreveu:
> >>
> >>>
> >>>
> >>> No caso nessas últimas ocorrências, o destino aqui também foi esse AS
> >>> mesmo, porém das últimas vezes aqui, também ocorreu em direção a AWS.
> >>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha alguma VPN
> >>> instalada? Pelo o que vejo, algumas até já vem com alguma instalada.
> >>> Pode
> >>> estar aí o furo.
> >>>
> >>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
> >>> gondim at linuxinfo.com.br> escreveu:
> >>>
> >>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
> >>>>
> >>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
> >>>>> sofram com
> >>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou até
> >>>> bloquear
> >>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas IPTV.
> >>>>> Aqui
> >>>> no
> >>>>> provedor estamos tratando IP por IP, mas acredito que logo teremos
> >>>>> que
> >>>>> bloquear /24 também. Seguidamente o CERTBR encaminha notificações
> >>>>> informando que estamos originando tais ataques. O interessante é que
> >>>> está
> >>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
> >>>>> estados
> >>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais essas
> >>>>> IPTV
> >>>> se
> >>>>> conectam e puder compartilhar aqui na lista, seria de grande valia.
> >>>> Com a gente aqui os ataques foram todos direcionados à NFO AS14586.
> >>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
> >>>> indica que
> >>>> tem a ver com servidores de jogos.
> >>>> https://www.nfoservers.com/
> >>>> O IP atacado faz parte do bloco 74.91.113.0/24
> >>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
> >>>>> fischerdouglas at gmail.com> escreveu:
> >>>>>
> >>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e
> >>>>>> não está
> >>>>>> sofrendo com isso...
> >>>>>> --
> >>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list