[GTER] IPTV-PIRATA como origem de DoS

Rafael Ribeiro rafaelribeiro.sp at gmail.com
Thu Jun 27 21:45:28 -03 2019


Exato e agora a HTV diz ter uma solução cloud .. eu acredito que o cloud
deles é p2p cliente cliente ... quase impossível de se bloquear ... pq não
é apenas banir um ip ..

Em qui, 27 de jun de 2019 21:08, Rubens Kuhl <rubensk at gmail.com> escreveu:

> Um detalhe que foi citado "upload alto"; isso pode tanto ser fluxo de
> ataque, quanto ser transmissão (mesmo live) P2P, onde quem recebe tráfego
> ajuda a disseminar para outros viewers do mesmo fluxo. Para ir de "upload
> alto" para ataque é necessária uma caracterização mais cuidadosa, para
> diferenciar de soluções como SopCast.
>
>
> Rubens
>
>
>
>
>
>
> On Thu, Jun 27, 2019 at 11:56 PM Alexandre Guimaraes <
> alexandre.fguimaraes at gmail.com> wrote:
>
> > Esperae!!! Para!!!
> >
> > Qual a banda que vc vendeu? 100Mbps Up/Down?
> >
> > Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV,
> > PlayStation, Netflix, Torrent.... isso não interessa.
> >
> > A única coisa que vc precisa apontar quando vier uma reclamação do CERT
> ou
> > da justiça, eh informar o cliente e pronto.
> >
> > E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em
> serviço
> > privado.
> >
> > O problema que estou vendo aqui, é não ter a capacidade para atender às
> > demandas crescentes... sejam de ataques, bots, heavy users e Netflix e
> > afins....
> >
> > Alexandre
> >
> > > On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
> > >
> > > Tbm notei o ataque nesse mesmo horário
> > >
> > > Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer <
> > jhonnyp at deltaativa.com.br>
> > > escreveu:
> > >
> > >> agora as 15:30 varios clientes comecaram a bombardear de ataque
> > >> novamente. upload de 10 a 12 mb.
> > >>
> > >> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
> > >>
> > >>
> > >> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
> > >>> Olá pessoal,
> > >>>
> > >>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
> > >>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9
> trojans!
> > >>>
> > >>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
> > >>>
> > >>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
> > >>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
> > >>>>
> > >>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
> > >>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
> > >>>>>
> > >>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
> > >>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
> > >>>>> somente 2 programa instalei, um chamado braziltv que é onde vem os
> > >>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
> > >>>>> Nenhum programa de VPN nem conteudo adulto nada.
> > >>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
> > >>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
> > >>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
> > >>>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
> > >>>>> entao seja la o que for so de ele estar ligado sem estar aberto
> nada
> > >>>>> ja é suficiente para ser usado para atacar outros.
> > >>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
> > >>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
> > >>>>> os canais continuam funcionando o trafego continua sendo gerado
> > >>>>> claro, mas pelo menos nao sai mais pra fora da rede.
> > >>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
> > >>>>> minha contribuição.
> > >>>>>
> > >>>>> Faixa de ataques ontem aqui foi
> > >>>>> 74.91.113.215
> > >>>>> 74.91.117.185
> > >>>>> 74.91.121.178
> > >>>>> 74.91.123.202
> > >>>>> 74.91.125.208
> > >>>>> 74.91.113.81
> > >>>> Aproveitando monitora esse dispositivo pra ver se está saindo
> conexão
> > >>>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo
> > daí.
> > >>>>>
> > >>>>>
> > >>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
> > >>>>>> Boa tarde galera.
> > >>>>>>
> > >>>>>> Aqui começou novamente,.
> > >>>>>>
> > >>>>>> Mesmo destino (NFO Servers).
> > >>>>>> IP e porta destino sempre mudando.
> > >>>>>>
> > >>>>>>
> > >>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
> > >>>>>> <wagner at seanet.com.br>
> > >>>>>> escreveu:
> > >>>>>>
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi
> esse
> > AS
> > >>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em direção a
> > AWS.
> > >>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha
> alguma
> > >>>>>>> VPN
> > >>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
> > >>>>>>> instalada. Pode
> > >>>>>>> estar aí o furo.
> > >>>>>>>
> > >>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
> > >>>>>>> gondim at linuxinfo.com.br> escreveu:
> > >>>>>>>
> > >>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
> > >>>>>>>>
> > >>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
> > >>>>>>>>> sofram com
> > >>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou
> até
> > >>>>>>>> bloquear
> > >>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
> > >>>>>>>>> IPTV. Aqui
> > >>>>>>>> no
> > >>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
> > >>>>>>>>> teremos que
> > >>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha
> notificações
> > >>>>>>>>> informando que estamos originando tais ataques. O interessante
> é
> > >>>>>>>>> que
> > >>>>>>>> está
> > >>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
> > >>>>>>>>> estados
> > >>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
> > >>>>>>>>> essas IPTV
> > >>>>>>>> se
> > >>>>>>>>> conectam e puder compartilhar aqui na lista, seria de grande
> > valia.
> > >>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO
> > AS14586.
> > >>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
> > >>>>>>>> indica que
> > >>>>>>>> tem a ver com servidores de jogos.
> > >>>>>>>> https://www.nfoservers.com/
> > >>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
> > >>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
> > >>>>>>>>> fischerdouglas at gmail.com> escreveu:
> > >>>>>>>>>
> > >>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e
> > >>>>>>>>>> não está
> > >>>>>>>>>> sofrendo com isso...
> > >>>>>>>>>> --
> > >>>
> > >>>
> > >>> --
> > >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> --
> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list