[GTER] IPTV-PIRATA como origem de DoS
Bruno Cabral
bruno at openline.com.br
Fri Jun 28 07:35:10 -03 2019
Ao ligar o aparelho, sem nenhum canal selecionado, voce gravou se ele faz conexao inicial com algum host especifico e se recebeu algum trafego especifico antes de iniciar os uploads? Pode dar uma pista da origem,,,
!3runo
________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Jonni Pianezzer <jhonnyp at deltaativa.com.br>
Enviado: quinta-feira, 27 de junho de 2019 21:38
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] IPTV-PIRATA como origem de DoS
Formatei o HTV de 3 diferentes maneiras, e ao religar ele em menos de 5
minutos os UPLOADs se iniciam, mesmo nao tendo instalado nenhum APP
disponibilizado por eles, entao é o próprio firmware original ja que
esta infectado e mesmo assim resetando ele ja esta embutido.
Realmente falamos Ataque devido os donos dos servidores estarem assim
informando, comecaram todos ao mesmo instante, aqui tive 50 clientes que
iniciaram ao mesmo tempo, as conexão hoje para os mesmos servidores, e
ainda continuam ate agora.
Não nos falta banda, o cliente quer usar use, o problema disso é
clientes que estao com estes malditos, e ligam reclamando que estao com
problemas,
devido a isto.
E como o responsável pelos servidores respondeu ali, se bloquearmos
algo, o objetivo pode ate ser atingido, pois isola os servidores daquela
empresa, o que pode ser considerado um sucesso dependendo do que eles
desejam, por isso o mesmo pede para que nao bloqueiem.
Em 27/06/2019 21:07, Rubens Kuhl escreveu:
> Um detalhe que foi citado "upload alto"; isso pode tanto ser fluxo de
> ataque, quanto ser transmissão (mesmo live) P2P, onde quem recebe tráfego
> ajuda a disseminar para outros viewers do mesmo fluxo. Para ir de "upload
> alto" para ataque é necessária uma caracterização mais cuidadosa, para
> diferenciar de soluções como SopCast.
>
> Rubens
>
> On Thu, Jun 27, 2019 at 11:56 PM Alexandre Guimaraes <
> alexandre.fguimaraes at gmail.com> wrote:
>
> Esperae!!! Para!!!
>
> Qual a banda que vc vendeu? 100Mbps Up/Down?
>
> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV,
> PlayStation, Netflix, Torrent.... isso não interessa.
>
> A única coisa que vc precisa apontar quando vier uma reclamação do CERT ou
> da justiça, eh informar o cliente e pronto.
>
> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em serviço
> privado.
>
> O problema que estou vendo aqui, é não ter a capacidade para atender às
> demandas crescentes... sejam de ataques, bots, heavy users e Netflix e
> afins....
>
> Alexandre
>
> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
>
> Tbm notei o ataque nesse mesmo horário
>
> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer < jhonnyp at deltaativa.com.br> escreveu:
>
> agora as 15:30 varios clientes comecaram a bombardear de ataque
> novamente. upload de 10 a 12 mb.
>
> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
>
> Em 27/06/2019 15:21, Marcelo Gondim escreveu: Olá pessoal,
>
> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
> ESET. Aqui [1 [1]] uma imagem pra vocês verem. Numa mesma caixa 9 trojans!
>
> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
>
> Em 27/06/2019 11:52, Marcelo Gondim escreveu: Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
>
> Vamos La, como precisamos testar isso nao teve outro jeito.
> Sim eu odeio esses Aparelhos igual a todos aqui da lista
>
> Coloquei um HTV5 atras de uma Mikrotik para analisar.
> HTV5 novo, mesmo assim resetei ele de fabrica,
> somente 2 programa instalei, um chamado braziltv que é onde vem os
> canais, e outro chamado Cine que é tipo filmes lancamentos.
> Nenhum programa de VPN nem conteudo adulto nada.
> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
> estava rodando nenhum canal, somente na tele inicial do aparelho,
> entao seja la o que for so de ele estar ligado sem estar aberto nada
> ja é suficiente para ser usado para atacar outros.
> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
> vindo do ip do HTV e mandei pra uma lista os ips destinos,
> os canais continuam funcionando o trafego continua sendo gerado
> claro, mas pelo menos nao sai mais pra fora da rede.
> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
> minha contribuição.
>
> Faixa de ataques ontem aqui foi
> 74.91.113.215
> 74.91.117.185
> 74.91.121.178
> 74.91.123.202
> 74.91.125.208
> 74.91.113.81 Aproveitando monitora esse dispositivo pra ver se está saindo conexão
> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo
daí.
> Em 26/06/2019 15:48, Wagner Bento escreveu: Boa tarde galera.
>
> Aqui começou novamente,.
>
> Mesmo destino (NFO Servers).
> IP e porta destino sempre mudando.
>
> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
> <wagner at seanet.com.br>
> escreveu:
>
> No caso nessas últimas ocorrências, o destino aqui também foi esse
AS
> mesmo, porém das últimas vezes aqui, também ocorreu em direção a
AWS.
> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha alguma
> VPN
> instalada? Pelo o que vejo, algumas até já vem com alguma
> instalada. Pode
> estar aí o furo.
>
> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
> gondim at linuxinfo.com.br> escreveu:
>
> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
>
> Bom dia Douglas, pelo contrário, acredito que muitos colegas
> sofram com
> isso. Já observei aqui na lista relatos onde o pessoal chegou até bloquear /24 para mitigar o ataque coordenado de DDoS oriundo dessas
> IPTV. Aqui no provedor estamos tratando IP por IP, mas acredito que logo
> teremos que
> bloquear /24 também. Seguidamente o CERTBR encaminha notificações
> informando que estamos originando tais ataques. O interessante é
> que está sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
> estados
> unidos. Se algum colega tiver alguma lista de IPS nos quais
> essas IPTV se conectam e puder compartilhar aqui na lista, seria de grande
valia.
> Com a gente aqui os ataques foram todos direcionados à NFO
AS14586.
> Embora tenham o nome de "Nuclearfallout Enterprises" [1 [1]] tudo
> indica que
> tem a ver com servidores de jogos.
> https://www.nfoservers.com/
> O IP atacado faz parte do bloco 74.91.113.0/24 Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
> fischerdouglas at gmail.com> escreveu:
>
> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e
> não está
> sofrendo com isso...
> --
--
gter list https://eng.registro.br/mailman/listinfo/gter --
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter --
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
Jonni Pianezzer
Diretor Tecnico Delta Ativa Telecom
MCTNA MTCRE MTCINE MTCTE MTCUME UBWA UBWA2 UBRSS UBWS UEWA IPV6 Sage.
61-8177-2117
Links:
------
[1] https://uploaddeimagens.com.br/imagens/htv-jpg
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list