[GTER] IPTV-PIRATA como origem de DoS

Márcio Elias Hahn do Nascimento marcio at sulonline.net
Fri Jun 28 09:21:30 -03 2019


Pode isso Arnaldo? 

Em 2019-06-27 19:53, Alexandre Guimaraes escreveu:

> Esperae!!! Para!!! 
> 
> Qual a banda que vc vendeu? 100Mbps Up/Down?
> 
> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV, PlayStation, Netflix, Torrent.... isso não interessa. 
> 
> A única coisa que vc precisa apontar quando vier uma reclamação do CERT ou da justiça, eh informar o cliente e pronto.
> 
> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em serviço privado.
> 
> O problema que estou vendo aqui, é não ter a capacidade para atender às demandas crescentes... sejam de ataques, bots, heavy users e Netflix e afins....
> 
> Alexandre
> 
> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
> 
> Tbm notei o ataque nesse mesmo horário
> 
> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer <jhonnyp at deltaativa.com.br>
> escreveu:
> 
> agora as 15:30 varios clientes comecaram a bombardear de ataque
> novamente. upload de 10 a 12 mb.
> 
> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
> 
> Em 27/06/2019 15:21, Marcelo Gondim escreveu: Olá pessoal,
> 
> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
> ESET. Aqui [1 [1]] uma imagem pra vocês verem. Numa mesma caixa 9 trojans!
> 
> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
> 
> Em 27/06/2019 11:52, Marcelo Gondim escreveu: Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
> 
> Vamos La, como precisamos testar isso nao teve outro jeito.
> Sim eu odeio esses Aparelhos igual a todos aqui da lista
> 
> Coloquei um HTV5 atras de uma Mikrotik para analisar.
> HTV5 novo, mesmo assim resetei ele de fabrica,
> somente 2 programa instalei, um chamado braziltv que é onde vem os
> canais, e outro chamado Cine que é tipo filmes lancamentos.
> Nenhum programa de VPN nem conteudo adulto nada.
> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
> estava rodando nenhum canal, somente na tele inicial do aparelho,
> entao seja la o que for so de ele estar ligado sem estar aberto nada
> ja é suficiente para ser usado para atacar outros.
> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
> vindo do ip do HTV e mandei pra uma lista os ips destinos,
> os canais continuam funcionando o trafego continua sendo gerado
> claro, mas pelo menos nao sai mais pra fora da rede.
> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
> minha contribuição.
> 
> Faixa de ataques ontem aqui foi
> 74.91.113.215
> 74.91.117.185
> 74.91.121.178
> 74.91.123.202
> 74.91.125.208
> 74.91.113.81 Aproveitando monitora esse dispositivo pra ver se está saindo conexão
> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo daí. 
> 
> Em 26/06/2019 15:48, Wagner Bento escreveu: Boa tarde galera.
> 
> Aqui começou novamente,.
> 
> Mesmo destino (NFO Servers).
> IP e porta destino sempre mudando.
> 
> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
> <wagner at seanet.com.br>
> escreveu:
> 
> No caso nessas últimas ocorrências, o destino aqui também foi esse AS
> mesmo, porém das últimas vezes aqui, também ocorreu em direção a AWS.
> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha alguma
> VPN
> instalada? Pelo o que vejo, algumas até já vem com alguma
> instalada. Pode
> estar aí o furo.
> 
> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
> gondim at linuxinfo.com.br> escreveu:
> 
> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
> 
> Bom dia Douglas, pelo contrário, acredito que muitos colegas
> sofram com
> isso. Já observei aqui na lista relatos onde o pessoal chegou até bloquear /24 para mitigar o ataque coordenado de DDoS oriundo dessas
> IPTV. Aqui no provedor estamos tratando IP por IP, mas acredito que logo
> teremos que
> bloquear /24 também. Seguidamente o CERTBR encaminha notificações
> informando que estamos originando tais ataques. O interessante é
> que está sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
> estados
> unidos. Se algum colega tiver alguma lista de IPS nos quais
> essas IPTV se conectam e puder compartilhar aqui na lista, seria de grande valia. Com a gente aqui os ataques foram todos direcionados à NFO AS14586.
> Embora tenham o nome de "Nuclearfallout Enterprises" [1 [1]] tudo
> indica que
> tem a ver com servidores de jogos.
> https://www.nfoservers.com/
> O IP atacado faz parte do bloco 74.91.113.0/24 Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
> fischerdouglas at gmail.com> escreveu:
> 
> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e
> não está
> sofrendo com isso...
> --

--
gter list    https://eng.registro.br/mailman/listinfo/gter --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter --
gter list    https://eng.registro.br/mailman/listinfo/gter 

-- 
Att 

Márcio Elias Hahn do Nascimento
 

Links:
------
[1] https://uploaddeimagens.com.br/imagens/htv-jpg


More information about the gter mailing list