[GTER] IPTV-PIRATA como origem de DoS

Nuno Vieira nuno at hashpower.pt
Thu Jun 27 20:55:57 -03 2019


Completamente de acordo. 

Com essas teorias q estão prai a falar, por exemplo, se fosse na união europeia era processo ao ISP na boa por violação do RGPD / GPDR. 

A unica coisa que devem fazer é tendo meios de detetar o DDoS notificar o cliente e dar lhe nn horas para sanar o problema, juntando evidências do ataque (ex report do cert). Caso nao resolva, um shut na porta e pronto. Ataque mitigado na fonte. 

Parece me que o problema aqui é pessoas com excesso de tempo :) para “inventar”. 

Nuno Vieira

No dia 27/06/2019, às 23:53, Alexandre Guimaraes <alexandre.fguimaraes at gmail.com> escreveu:

> Esperae!!! Para!!! 
> 
> Qual a banda que vc vendeu? 100Mbps Up/Down?
> 
> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV, PlayStation, Netflix, Torrent.... isso não interessa. 
> 
> A única coisa que vc precisa apontar quando vier uma reclamação do CERT ou da justiça, eh informar o cliente e pronto.
> 
> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em serviço privado.
> 
> O problema que estou vendo aqui, é não ter a capacidade para atender às demandas crescentes... sejam de ataques, bots, heavy users e Netflix e afins....
> 
> Alexandre
> 
>> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
>> 
>> Tbm notei o ataque nesse mesmo horário
>> 
>> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer <jhonnyp at deltaativa.com.br>
>> escreveu:
>> 
>>> agora as 15:30 varios clientes comecaram a bombardear de ataque
>>> novamente. upload de 10 a 12 mb.
>>> 
>>> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
>>> 
>>> 
>>> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
>>>> Olá pessoal,
>>>> 
>>>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
>>>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9 trojans!
>>>> 
>>>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
>>>> 
>>>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
>>>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
>>>>> 
>>>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
>>>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
>>>>>> 
>>>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
>>>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
>>>>>> somente 2 programa instalei, um chamado braziltv que é onde vem os
>>>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
>>>>>> Nenhum programa de VPN nem conteudo adulto nada.
>>>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
>>>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
>>>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
>>>>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
>>>>>> entao seja la o que for so de ele estar ligado sem estar aberto nada
>>>>>> ja é suficiente para ser usado para atacar outros.
>>>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
>>>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
>>>>>> os canais continuam funcionando o trafego continua sendo gerado
>>>>>> claro, mas pelo menos nao sai mais pra fora da rede.
>>>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
>>>>>> minha contribuição.
>>>>>> 
>>>>>> Faixa de ataques ontem aqui foi
>>>>>> 74.91.113.215
>>>>>> 74.91.117.185
>>>>>> 74.91.121.178
>>>>>> 74.91.123.202
>>>>>> 74.91.125.208
>>>>>> 74.91.113.81
>>>>> Aproveitando monitora esse dispositivo pra ver se está saindo conexão
>>>>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo daí.
>>>>>> 
>>>>>> 
>>>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
>>>>>>> Boa tarde galera.
>>>>>>> 
>>>>>>> Aqui começou novamente,.
>>>>>>> 
>>>>>>> Mesmo destino (NFO Servers).
>>>>>>> IP e porta destino sempre mudando.
>>>>>>> 
>>>>>>> 
>>>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
>>>>>>> <wagner at seanet.com.br>
>>>>>>> escreveu:
>>>>>>> 
>>>>>>>> 
>>>>>>>> 
>>>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi esse AS
>>>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em direção a AWS.
>>>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha alguma
>>>>>>>> VPN
>>>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
>>>>>>>> instalada. Pode
>>>>>>>> estar aí o furo.
>>>>>>>> 
>>>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
>>>>>>>> gondim at linuxinfo.com.br> escreveu:
>>>>>>>> 
>>>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
>>>>>>>>> 
>>>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
>>>>>>>>>> sofram com
>>>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou até
>>>>>>>>> bloquear
>>>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
>>>>>>>>>> IPTV. Aqui
>>>>>>>>> no
>>>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
>>>>>>>>>> teremos que
>>>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha notificações
>>>>>>>>>> informando que estamos originando tais ataques. O interessante é
>>>>>>>>>> que
>>>>>>>>> está
>>>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
>>>>>>>>>> estados
>>>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
>>>>>>>>>> essas IPTV
>>>>>>>>> se
>>>>>>>>>> conectam e puder compartilhar aqui na lista, seria de grande valia.
>>>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO AS14586.
>>>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
>>>>>>>>> indica que
>>>>>>>>> tem a ver com servidores de jogos.
>>>>>>>>> https://www.nfoservers.com/
>>>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
>>>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
>>>>>>>>>> fischerdouglas at gmail.com> escreveu:
>>>>>>>>>> 
>>>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e
>>>>>>>>>>> não está
>>>>>>>>>>> sofrendo com isso...
>>>>>>>>>>> --
>>>> 
>>>> 
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list