[GTER] IPTV-PIRATA como origem de DoS

Juliano GigaNET juliano at giganet.net.py
Fri Jun 28 08:16:03 -03 2019 

Bom dia.

Entrei em contato como representante da marca, expliquei a situacao que 
esta ocorrendo com o produto dele e o mesmo ficou de me dar uma resposta 
amanha. Ele ficou de entrar em contato com o desenvolvedor do firmware 
na china e buscar uma solucao. Acredito que em breve o aparelho tera uma 
atualizacao de firmware.

Manterei voces informado de qualquer novidade.

Atte


Às 20:45 de 27/06/2019, Rafael Ribeiro escreveu:
> Exato e agora a HTV diz ter uma solução cloud .. eu acredito que o cloud
> deles é p2p cliente cliente ... quase impossível de se bloquear ... pq não
> é apenas banir um ip ..
>
> Em qui, 27 de jun de 2019 21:08, Rubens Kuhl <rubensk at gmail.com> escreveu:
>
>> Um detalhe que foi citado "upload alto"; isso pode tanto ser fluxo de
>> ataque, quanto ser transmissão (mesmo live) P2P, onde quem recebe tráfego
>> ajuda a disseminar para outros viewers do mesmo fluxo. Para ir de "upload
>> alto" para ataque é necessária uma caracterização mais cuidadosa, para
>> diferenciar de soluções como SopCast.
>>
>>
>> Rubens
>>
>>
>>
>>
>>
>>
>> On Thu, Jun 27, 2019 at 11:56 PM Alexandre Guimaraes <
>> alexandre.fguimaraes at gmail.com> wrote:
>>
>>> Esperae!!! Para!!!
>>>
>>> Qual a banda que vc vendeu? 100Mbps Up/Down?
>>>
>>> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV,
>>> PlayStation, Netflix, Torrent.... isso não interessa.
>>>
>>> A única coisa que vc precisa apontar quando vier uma reclamação do CERT
>> ou
>>> da justiça, eh informar o cliente e pronto.
>>>
>>> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em
>> serviço
>>> privado.
>>>
>>> O problema que estou vendo aqui, é não ter a capacidade para atender às
>>> demandas crescentes... sejam de ataques, bots, heavy users e Netflix e
>>> afins....
>>>
>>> Alexandre
>>>
>>>> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
>>>>
>>>> Tbm notei o ataque nesse mesmo horário
>>>>
>>>> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer <
>>> jhonnyp at deltaativa.com.br>
>>>> escreveu:
>>>>
>>>>> agora as 15:30 varios clientes comecaram a bombardear de ataque
>>>>> novamente. upload de 10 a 12 mb.
>>>>>
>>>>> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
>>>>>
>>>>>
>>>>> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
>>>>>> Olá pessoal,
>>>>>>
>>>>>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
>>>>>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9
>> trojans!
>>>>>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
>>>>>>
>>>>>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
>>>>>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
>>>>>>>
>>>>>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
>>>>>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
>>>>>>>>
>>>>>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
>>>>>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
>>>>>>>> somente 2 programa instalei, um chamado braziltv que é onde vem os
>>>>>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
>>>>>>>> Nenhum programa de VPN nem conteudo adulto nada.
>>>>>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
>>>>>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
>>>>>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
>>>>>>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
>>>>>>>> entao seja la o que for so de ele estar ligado sem estar aberto
>> nada
>>>>>>>> ja é suficiente para ser usado para atacar outros.
>>>>>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
>>>>>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
>>>>>>>> os canais continuam funcionando o trafego continua sendo gerado
>>>>>>>> claro, mas pelo menos nao sai mais pra fora da rede.
>>>>>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
>>>>>>>> minha contribuição.
>>>>>>>>
>>>>>>>> Faixa de ataques ontem aqui foi
>>>>>>>> 74.91.113.215
>>>>>>>> 74.91.117.185
>>>>>>>> 74.91.121.178
>>>>>>>> 74.91.123.202
>>>>>>>> 74.91.125.208
>>>>>>>> 74.91.113.81
>>>>>>> Aproveitando monitora esse dispositivo pra ver se está saindo
>> conexão
>>>>>>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo
>>> daí.
>>>>>>>>
>>>>>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
>>>>>>>>> Boa tarde galera.
>>>>>>>>>
>>>>>>>>> Aqui começou novamente,.
>>>>>>>>>
>>>>>>>>> Mesmo destino (NFO Servers).
>>>>>>>>> IP e porta destino sempre mudando.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
>>>>>>>>> <wagner at seanet.com.br>
>>>>>>>>> escreveu:
>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi
>> esse
>>> AS
>>>>>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em direção a
>>> AWS.
>>>>>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha
>> alguma
>>>>>>>>>> VPN
>>>>>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
>>>>>>>>>> instalada. Pode
>>>>>>>>>> estar aí o furo.
>>>>>>>>>>
>>>>>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
>>>>>>>>>> gondim at linuxinfo.com.br> escreveu:
>>>>>>>>>>
>>>>>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
>>>>>>>>>>>
>>>>>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
>>>>>>>>>>>> sofram com
>>>>>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou
>> até
>>>>>>>>>>> bloquear
>>>>>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
>>>>>>>>>>>> IPTV. Aqui
>>>>>>>>>>> no
>>>>>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
>>>>>>>>>>>> teremos que
>>>>>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha
>> notificações
>>>>>>>>>>>> informando que estamos originando tais ataques. O interessante
>> é
>>>>>>>>>>>> que
>>>>>>>>>>> está
>>>>>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
>>>>>>>>>>>> estados
>>>>>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
>>>>>>>>>>>> essas IPTV
>>>>>>>>>>> se
>>>>>>>>>>>> conectam e puder compartilhar aqui na lista, seria de grande
>>> valia.
>>>>>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO
>>> AS14586.
>>>>>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
>>>>>>>>>>> indica que
>>>>>>>>>>> tem a ver com servidores de jogos.
>>>>>>>>>>> https://www.nfoservers.com/
>>>>>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
>>>>>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
>>>>>>>>>>>> fischerdouglas at gmail.com> escreveu:
>>>>>>>>>>>>
>>>>>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e
>>>>>>>>>>>>> não está
>>>>>>>>>>>>> sofrendo com isso...
>>>>>>>>>>>>> --
>>>>>>
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list