[GTER] IPTV-PIRATA como origem de DoS

Andre Almeida andre at bnet.com.br
Fri Jun 28 10:16:44 -03 2019 

Jonni, veja se há algum tráfego TCP no momento que você liga ele...
Tenta bloquear 1 a 1 esses IPs que tentam fazer contato TCP

Como o ataque é UDP e está diretamente ligado aos servidores NFO Servers,
creio que não tem nada a ver com uma possível rede P2P.
É isso que o @Fernando Frediani recebeu de resposta dos caras lá...
Tentar ver tráfego TCP que possa ser do C&C

Att


Em sex, 28 de jun de 2019 às 08:22, Juliano GigaNET <juliano at giganet.net.py>
escreveu:

> Bom dia.
>
> Entrei em contato como representante da marca, expliquei a situacao que
> esta ocorrendo com o produto dele e o mesmo ficou de me dar uma resposta
> amanha. Ele ficou de entrar em contato com o desenvolvedor do firmware
> na china e buscar uma solucao. Acredito que em breve o aparelho tera uma
> atualizacao de firmware.
>
> Manterei voces informado de qualquer novidade.
>
> Atte
>
>
> Às 20:45 de 27/06/2019, Rafael Ribeiro escreveu:
> > Exato e agora a HTV diz ter uma solução cloud .. eu acredito que o cloud
> > deles é p2p cliente cliente ... quase impossível de se bloquear ... pq
> não
> > é apenas banir um ip ..
> >
> > Em qui, 27 de jun de 2019 21:08, Rubens Kuhl <rubensk at gmail.com>
> escreveu:
> >
> >> Um detalhe que foi citado "upload alto"; isso pode tanto ser fluxo de
> >> ataque, quanto ser transmissão (mesmo live) P2P, onde quem recebe
> tráfego
> >> ajuda a disseminar para outros viewers do mesmo fluxo. Para ir de
> "upload
> >> alto" para ataque é necessária uma caracterização mais cuidadosa, para
> >> diferenciar de soluções como SopCast.
> >>
> >>
> >> Rubens
> >>
> >>
> >>
> >>
> >>
> >>
> >> On Thu, Jun 27, 2019 at 11:56 PM Alexandre Guimaraes <
> >> alexandre.fguimaraes at gmail.com> wrote:
> >>
> >>> Esperae!!! Para!!!
> >>>
> >>> Qual a banda que vc vendeu? 100Mbps Up/Down?
> >>>
> >>> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV,
> >>> PlayStation, Netflix, Torrent.... isso não interessa.
> >>>
> >>> A única coisa que vc precisa apontar quando vier uma reclamação do CERT
> >> ou
> >>> da justiça, eh informar o cliente e pronto.
> >>>
> >>> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em
> >> serviço
> >>> privado.
> >>>
> >>> O problema que estou vendo aqui, é não ter a capacidade para atender às
> >>> demandas crescentes... sejam de ataques, bots, heavy users e Netflix e
> >>> afins....
> >>>
> >>> Alexandre
> >>>
> >>>> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
> >>>>
> >>>> Tbm notei o ataque nesse mesmo horário
> >>>>
> >>>> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer <
> >>> jhonnyp at deltaativa.com.br>
> >>>> escreveu:
> >>>>
> >>>>> agora as 15:30 varios clientes comecaram a bombardear de ataque
> >>>>> novamente. upload de 10 a 12 mb.
> >>>>>
> >>>>> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
> >>>>>
> >>>>>
> >>>>> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
> >>>>>> Olá pessoal,
> >>>>>>
> >>>>>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
> >>>>>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9
> >> trojans!
> >>>>>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
> >>>>>>
> >>>>>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
> >>>>>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
> >>>>>>>
> >>>>>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
> >>>>>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
> >>>>>>>>
> >>>>>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
> >>>>>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
> >>>>>>>> somente 2 programa instalei, um chamado braziltv que é onde vem os
> >>>>>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
> >>>>>>>> Nenhum programa de VPN nem conteudo adulto nada.
> >>>>>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
> >>>>>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as
> 04:23.
> >>>>>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
> >>>>>>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
> >>>>>>>> entao seja la o que for so de ele estar ligado sem estar aberto
> >> nada
> >>>>>>>> ja é suficiente para ser usado para atacar outros.
> >>>>>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
> >>>>>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
> >>>>>>>> os canais continuam funcionando o trafego continua sendo gerado
> >>>>>>>> claro, mas pelo menos nao sai mais pra fora da rede.
> >>>>>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
> >>>>>>>> minha contribuição.
> >>>>>>>>
> >>>>>>>> Faixa de ataques ontem aqui foi
> >>>>>>>> 74.91.113.215
> >>>>>>>> 74.91.117.185
> >>>>>>>> 74.91.121.178
> >>>>>>>> 74.91.123.202
> >>>>>>>> 74.91.125.208
> >>>>>>>> 74.91.113.81
> >>>>>>> Aproveitando monitora esse dispositivo pra ver se está saindo
> >> conexão
> >>>>>>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo
> >>> daí.
> >>>>>>>>
> >>>>>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
> >>>>>>>>> Boa tarde galera.
> >>>>>>>>>
> >>>>>>>>> Aqui começou novamente,.
> >>>>>>>>>
> >>>>>>>>> Mesmo destino (NFO Servers).
> >>>>>>>>> IP e porta destino sempre mudando.
> >>>>>>>>>
> >>>>>>>>>
> >>>>>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
> >>>>>>>>> <wagner at seanet.com.br>
> >>>>>>>>> escreveu:
> >>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi
> >> esse
> >>> AS
> >>>>>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em direção a
> >>> AWS.
> >>>>>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha
> >> alguma
> >>>>>>>>>> VPN
> >>>>>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
> >>>>>>>>>> instalada. Pode
> >>>>>>>>>> estar aí o furo.
> >>>>>>>>>>
> >>>>>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
> >>>>>>>>>> gondim at linuxinfo.com.br> escreveu:
> >>>>>>>>>>
> >>>>>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
> >>>>>>>>>>>
> >>>>>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
> >>>>>>>>>>>> sofram com
> >>>>>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou
> >> até
> >>>>>>>>>>> bloquear
> >>>>>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
> >>>>>>>>>>>> IPTV. Aqui
> >>>>>>>>>>> no
> >>>>>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
> >>>>>>>>>>>> teremos que
> >>>>>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha
> >> notificações
> >>>>>>>>>>>> informando que estamos originando tais ataques. O interessante
> >> é
> >>>>>>>>>>>> que
> >>>>>>>>>>> está
> >>>>>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
> >>>>>>>>>>>> estados
> >>>>>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
> >>>>>>>>>>>> essas IPTV
> >>>>>>>>>>> se
> >>>>>>>>>>>> conectam e puder compartilhar aqui na lista, seria de grande
> >>> valia.
> >>>>>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO
> >>> AS14586.
> >>>>>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
> >>>>>>>>>>> indica que
> >>>>>>>>>>> tem a ver com servidores de jogos.
> >>>>>>>>>>> https://www.nfoservers.com/
> >>>>>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
> >>>>>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
> >>>>>>>>>>>> fischerdouglas at gmail.com> escreveu:
> >>>>>>>>>>>>
> >>>>>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes
> e
> >>>>>>>>>>>>> não está
> >>>>>>>>>>>>> sofrendo com isso...
> >>>>>>>>>>>>> --
> >>>>>>
> >>>>>> --
> >>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>> --
> >>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>
> >>>> --
> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list