[GTER] IPTV-PIRATA como origem de DoS

[Ederson Amboni]

Tbm notei o ataque nesse mesmo horário

Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer <jhonnyp at deltaativa.com.br>
escreveu:

> agora as 15:30 varios clientes comecaram a bombardear de ataque
> novamente. upload de 10 a 12 mb.
>
> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
>
>
> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
> > Olá pessoal,
> >
> > Estamos pegando diversos trojans nessas caixas hTV com o antivírus
> > ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9 trojans!
> >
> > [1] https://uploaddeimagens.com.br/imagens/htv-jpg
> >
> > Em 27/06/2019 11:52, Marcelo Gondim escreveu:
> >> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
> >>
> >>> Vamos La, como precisamos testar isso nao teve outro jeito.
> >>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
> >>>
> >>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
> >>> HTV5 novo, mesmo assim resetei ele de fabrica,
> >>> somente 2 programa instalei, um chamado braziltv que é onde vem os
> >>> canais, e outro chamado Cine que é tipo filmes lancamentos.
> >>> Nenhum programa de VPN nem conteudo adulto nada.
> >>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
> >>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
> >>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
> >>> estava rodando nenhum canal, somente na tele inicial do aparelho,
> >>> entao seja la o que for so de ele estar ligado sem estar aberto nada
> >>> ja é suficiente para ser usado para atacar outros.
> >>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
> >>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
> >>> os canais continuam funcionando o trafego continua sendo gerado
> >>> claro, mas pelo menos nao sai mais pra fora da rede.
> >>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
> >>> minha contribuição.
> >>>
> >>> Faixa de ataques ontem aqui foi
> >>> 74.91.113.215
> >>> 74.91.117.185
> >>> 74.91.121.178
> >>> 74.91.123.202
> >>> 74.91.125.208
> >>> 74.91.113.81
> >> Aproveitando monitora esse dispositivo pra ver se está saindo conexão
> >> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo daí.
> >>>
> >>>
> >>> Em 26/06/2019 15:48, Wagner Bento escreveu:
> >>>> Boa tarde galera.
> >>>>
> >>>> Aqui começou novamente,.
> >>>>
> >>>> Mesmo destino (NFO Servers).
> >>>> IP e porta destino sempre mudando.
> >>>>
> >>>>
> >>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
> >>>> <wagner at seanet.com.br>
> >>>> escreveu:
> >>>>
> >>>>>
> >>>>>
> >>>>> No caso nessas últimas ocorrências, o destino aqui também foi esse AS
> >>>>> mesmo, porém das últimas vezes aqui, também ocorreu em direção a AWS.
> >>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha alguma
> >>>>> VPN
> >>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
> >>>>> instalada. Pode
> >>>>> estar aí o furo.
> >>>>>
> >>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
> >>>>> gondim at linuxinfo.com.br> escreveu:
> >>>>>
> >>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
> >>>>>>
> >>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
> >>>>>>> sofram com
> >>>>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou até
> >>>>>> bloquear
> >>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
> >>>>>>> IPTV. Aqui
> >>>>>> no
> >>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
> >>>>>>> teremos que
> >>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha notificações
> >>>>>>> informando que estamos originando tais ataques. O interessante é
> >>>>>>> que
> >>>>>> está
> >>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
> >>>>>>> estados
> >>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
> >>>>>>> essas IPTV
> >>>>>> se
> >>>>>>> conectam e puder compartilhar aqui na lista, seria de grande valia.
> >>>>>> Com a gente aqui os ataques foram todos direcionados à NFO AS14586.
> >>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
> >>>>>> indica que
> >>>>>> tem a ver com servidores de jogos.
> >>>>>> https://www.nfoservers.com/
> >>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
> >>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
> >>>>>>> fischerdouglas at gmail.com> escreveu:
> >>>>>>>
> >>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e
> >>>>>>>> não está
> >>>>>>>> sofrendo com isso...
> >>>>>>>> --
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>