[GTER] IPTV-PIRATA como origem de DoS

Marcelo Gondim gondim at linuxinfo.com.br
Fri Jun 28 09:51:37 -03 2019 

Muito bom. Nós sabemos que esses aparelhos, do jeito como são 
comercializados, são ilegais mas temos que ser neutros nesse momento e 
resolver o problema que nos afeta e também afeta a NFO.

Em 28/06/2019 08:16, Juliano GigaNET escreveu:
> Bom dia.
>
> Entrei em contato como representante da marca, expliquei a situacao 
> que esta ocorrendo com o produto dele e o mesmo ficou de me dar uma 
> resposta amanha. Ele ficou de entrar em contato com o desenvolvedor do 
> firmware na china e buscar uma solucao. Acredito que em breve o 
> aparelho tera uma atualizacao de firmware.
>
> Manterei voces informado de qualquer novidade.
>
> Atte
>
>
> Às 20:45 de 27/06/2019, Rafael Ribeiro escreveu:
>> Exato e agora a HTV diz ter uma solução cloud .. eu acredito que o cloud
>> deles é p2p cliente cliente ... quase impossível de se bloquear ... 
>> pq não
>> é apenas banir um ip ..
>>
>> Em qui, 27 de jun de 2019 21:08, Rubens Kuhl <rubensk at gmail.com> 
>> escreveu:
>>
>>> Um detalhe que foi citado "upload alto"; isso pode tanto ser fluxo de
>>> ataque, quanto ser transmissão (mesmo live) P2P, onde quem recebe 
>>> tráfego
>>> ajuda a disseminar para outros viewers do mesmo fluxo. Para ir de 
>>> "upload
>>> alto" para ataque é necessária uma caracterização mais cuidadosa, para
>>> diferenciar de soluções como SopCast.
>>>
>>>
>>> Rubens
>>>
>>>
>>>
>>>
>>>
>>>
>>> On Thu, Jun 27, 2019 at 11:56 PM Alexandre Guimaraes <
>>> alexandre.fguimaraes at gmail.com> wrote:
>>>
>>>> Esperae!!! Para!!!
>>>>
>>>> Qual a banda que vc vendeu? 100Mbps Up/Down?
>>>>
>>>> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV,
>>>> PlayStation, Netflix, Torrent.... isso não interessa.
>>>>
>>>> A única coisa que vc precisa apontar quando vier uma reclamação do 
>>>> CERT
>>> ou
>>>> da justiça, eh informar o cliente e pronto.
>>>>
>>>> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em
>>> serviço
>>>> privado.
>>>>
>>>> O problema que estou vendo aqui, é não ter a capacidade para 
>>>> atender às
>>>> demandas crescentes... sejam de ataques, bots, heavy users e Netflix e
>>>> afins....
>>>>
>>>> Alexandre
>>>>
>>>>> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
>>>>>
>>>>> Tbm notei o ataque nesse mesmo horário
>>>>>
>>>>> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer <
>>>> jhonnyp at deltaativa.com.br>
>>>>> escreveu:
>>>>>
>>>>>> agora as 15:30 varios clientes comecaram a bombardear de ataque
>>>>>> novamente. upload de 10 a 12 mb.
>>>>>>
>>>>>> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
>>>>>>
>>>>>>
>>>>>> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
>>>>>>> Olá pessoal,
>>>>>>>
>>>>>>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
>>>>>>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9
>>> trojans!
>>>>>>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
>>>>>>>
>>>>>>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
>>>>>>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
>>>>>>>>
>>>>>>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
>>>>>>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
>>>>>>>>>
>>>>>>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
>>>>>>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
>>>>>>>>> somente 2 programa instalei, um chamado braziltv que é onde 
>>>>>>>>> vem os
>>>>>>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
>>>>>>>>> Nenhum programa de VPN nem conteudo adulto nada.
>>>>>>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
>>>>>>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 
>>>>>>>>> 04:23.
>>>>>>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
>>>>>>>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
>>>>>>>>> entao seja la o que for so de ele estar ligado sem estar aberto
>>> nada
>>>>>>>>> ja é suficiente para ser usado para atacar outros.
>>>>>>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
>>>>>>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
>>>>>>>>> os canais continuam funcionando o trafego continua sendo gerado
>>>>>>>>> claro, mas pelo menos nao sai mais pra fora da rede.
>>>>>>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
>>>>>>>>> minha contribuição.
>>>>>>>>>
>>>>>>>>> Faixa de ataques ontem aqui foi
>>>>>>>>> 74.91.113.215
>>>>>>>>> 74.91.117.185
>>>>>>>>> 74.91.121.178
>>>>>>>>> 74.91.123.202
>>>>>>>>> 74.91.125.208
>>>>>>>>> 74.91.113.81
>>>>>>>> Aproveitando monitora esse dispositivo pra ver se está saindo
>>> conexão
>>>>>>>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo
>>>> daí.
>>>>>>>>>
>>>>>>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
>>>>>>>>>> Boa tarde galera.
>>>>>>>>>>
>>>>>>>>>> Aqui começou novamente,.
>>>>>>>>>>
>>>>>>>>>> Mesmo destino (NFO Servers).
>>>>>>>>>> IP e porta destino sempre mudando.
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
>>>>>>>>>> <wagner at seanet.com.br>
>>>>>>>>>> escreveu:
>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi
>>> esse
>>>> AS
>>>>>>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em 
>>>>>>>>>>> direção a
>>>> AWS.
>>>>>>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha
>>> alguma
>>>>>>>>>>> VPN
>>>>>>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
>>>>>>>>>>> instalada. Pode
>>>>>>>>>>> estar aí o furo.
>>>>>>>>>>>
>>>>>>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
>>>>>>>>>>> gondim at linuxinfo.com.br> escreveu:
>>>>>>>>>>>
>>>>>>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
>>>>>>>>>>>>
>>>>>>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
>>>>>>>>>>>>> sofram com
>>>>>>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou
>>> até
>>>>>>>>>>>> bloquear
>>>>>>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
>>>>>>>>>>>>> IPTV. Aqui
>>>>>>>>>>>> no
>>>>>>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
>>>>>>>>>>>>> teremos que
>>>>>>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha
>>> notificações
>>>>>>>>>>>>> informando que estamos originando tais ataques. O 
>>>>>>>>>>>>> interessante
>>> é
>>>>>>>>>>>>> que
>>>>>>>>>>>> está
>>>>>>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear 
>>>>>>>>>>>>> nos
>>>>>>>>>>>>> estados
>>>>>>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
>>>>>>>>>>>>> essas IPTV
>>>>>>>>>>>> se
>>>>>>>>>>>>> conectam e puder compartilhar aqui na lista, seria de grande
>>>> valia.
>>>>>>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO
>>>> AS14586.
>>>>>>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
>>>>>>>>>>>> indica que
>>>>>>>>>>>> tem a ver com servidores de jogos.
>>>>>>>>>>>> https://www.nfoservers.com/
>>>>>>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
>>>>>>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
>>>>>>>>>>>>> fischerdouglas at gmail.com> escreveu:
>>>>>>>>>>>>>
>>>>>>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 
>>>>>>>>>>>>>> clientes e
>>>>>>>>>>>>>> não está
>>>>>>>>>>>>>> sofrendo com isso...

More information about the gter mailing list