[GTER] IPTV-PIRATA como origem de DoS

Fri Jun 28 09:24:52 -03 2019

Parece que sim. Estamos observando se os clientes que estamos limpando 
se serão reincidentes.

Em 27/06/2019 15:35, Jonni Pianezzer escreveu:
> agora as 15:30 varios clientes comecaram a bombardear de ataque 
> novamente. upload de 10 a 12 mb.
>
> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
>
>
> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
>> Olá pessoal,
>>
>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus 
>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9 trojans!
>>
>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
>>
>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
>>>
>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
>>>>
>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
>>>> somente 2 programa instalei, um chamado braziltv que é onde vem os 
>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
>>>> Nenhum programa de VPN nem conteudo adulto nada.
>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao 
>>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
>>>> entao seja la o que for so de ele estar ligado sem estar aberto 
>>>> nada ja é suficiente para ser usado para atacar outros.
>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23 
>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
>>>> os canais continuam funcionando o trafego continua sendo gerado 
>>>> claro, mas pelo menos nao sai mais pra fora da rede.
>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é 
>>>> minha contribuição.
>>>>
>>>> Faixa de ataques ontem aqui foi
>>>> 74.91.113.215
>>>> 74.91.117.185
>>>> 74.91.121.178
>>>> 74.91.123.202
>>>> 74.91.125.208
>>>> 74.91.113.81
>>> Aproveitando monitora esse dispositivo pra ver se está saindo 
>>> conexão pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode 
>>> sair algo daí.
>>>>
>>>>
>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
>>>>> Boa tarde galera.
>>>>>
>>>>> Aqui começou novamente,.
>>>>>
>>>>> Mesmo destino (NFO Servers).
>>>>> IP e porta destino sempre mudando.
>>>>>
>>>>>
>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento 
>>>>> <wagner at seanet.com.br>
>>>>> escreveu:
>>>>>
>>>>>>
>>>>>>
>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi 
>>>>>> esse AS
>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em direção a 
>>>>>> AWS.
>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha 
>>>>>> alguma VPN
>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma 
>>>>>> instalada. Pode
>>>>>> estar aí o furo.
>>>>>>
>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
>>>>>> gondim at linuxinfo.com.br> escreveu:
>>>>>>
>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
>>>>>>>
>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas 
>>>>>>>> sofram com
>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou até
>>>>>>> bloquear
>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas 
>>>>>>>> IPTV. Aqui
>>>>>>> no
>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo 
>>>>>>>> teremos que
>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha notificações
>>>>>>>> informando que estamos originando tais ataques. O interessante 
>>>>>>>> é que
>>>>>>> está
>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos 
>>>>>>>> estados
>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais 
>>>>>>>> essas IPTV
>>>>>>> se
>>>>>>>> conectam e puder compartilhar aqui na lista, seria de grande 
>>>>>>>> valia.
>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO AS14586.
>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo 
>>>>>>> indica que
>>>>>>> tem a ver com servidores de jogos.
>>>>>>> https://www.nfoservers.com/
>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
>>>>>>>> fischerdouglas at gmail.com> escreveu:
>>>>>>>>
>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e 
>>>>>>>>> não está
>>>>>>>>> sofrendo com isso... 