[GTER] IPTV-PIRATA como origem de DoS

Alexandre J. Correa (Onda) alexandre at onda.net.br
Fri Jun 28 11:59:11 -03 2019


O trafego TCP pode ser o servidor de streaming, que neste caso, não 
seria a intenção bloquear o serviço de TV (legalmente ou não). Ai 
estaria infringindo o Marco Civil mesmo....


Em 28/06/2019 10:16, Andre Almeida escreveu:
> Jonni, veja se há algum tráfego TCP no momento que você liga ele...
> Tenta bloquear 1 a 1 esses IPs que tentam fazer contato TCP
>
> Como o ataque é UDP e está diretamente ligado aos servidores NFO Servers,
> creio que não tem nada a ver com uma possível rede P2P.
> É isso que o @Fernando Frediani recebeu de resposta dos caras lá...
> Tentar ver tráfego TCP que possa ser do C&C
>
> Att
>
>
> Em sex, 28 de jun de 2019 às 08:22, Juliano GigaNET <juliano at giganet.net.py>
> escreveu:
>
>> Bom dia.
>>
>> Entrei em contato como representante da marca, expliquei a situacao que
>> esta ocorrendo com o produto dele e o mesmo ficou de me dar uma resposta
>> amanha. Ele ficou de entrar em contato com o desenvolvedor do firmware
>> na china e buscar uma solucao. Acredito que em breve o aparelho tera uma
>> atualizacao de firmware.
>>
>> Manterei voces informado de qualquer novidade.
>>
>> Atte
>>
>>
>> Às 20:45 de 27/06/2019, Rafael Ribeiro escreveu:
>>> Exato e agora a HTV diz ter uma solução cloud .. eu acredito que o cloud
>>> deles é p2p cliente cliente ... quase impossível de se bloquear ... pq
>> não
>>> é apenas banir um ip ..
>>>
>>> Em qui, 27 de jun de 2019 21:08, Rubens Kuhl <rubensk at gmail.com>
>> escreveu:
>>>> Um detalhe que foi citado "upload alto"; isso pode tanto ser fluxo de
>>>> ataque, quanto ser transmissão (mesmo live) P2P, onde quem recebe
>> tráfego
>>>> ajuda a disseminar para outros viewers do mesmo fluxo. Para ir de
>> "upload
>>>> alto" para ataque é necessária uma caracterização mais cuidadosa, para
>>>> diferenciar de soluções como SopCast.
>>>>
>>>>
>>>> Rubens
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> On Thu, Jun 27, 2019 at 11:56 PM Alexandre Guimaraes <
>>>> alexandre.fguimaraes at gmail.com> wrote:
>>>>
>>>>> Esperae!!! Para!!!
>>>>>
>>>>> Qual a banda que vc vendeu? 100Mbps Up/Down?
>>>>>
>>>>> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV,
>>>>> PlayStation, Netflix, Torrent.... isso não interessa.
>>>>>
>>>>> A única coisa que vc precisa apontar quando vier uma reclamação do CERT
>>>> ou
>>>>> da justiça, eh informar o cliente e pronto.
>>>>>
>>>>> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em
>>>> serviço
>>>>> privado.
>>>>>
>>>>> O problema que estou vendo aqui, é não ter a capacidade para atender às
>>>>> demandas crescentes... sejam de ataques, bots, heavy users e Netflix e
>>>>> afins....
>>>>>
>>>>> Alexandre
>>>>>
>>>>>> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
>>>>>>
>>>>>> Tbm notei o ataque nesse mesmo horário
>>>>>>
>>>>>> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer <
>>>>> jhonnyp at deltaativa.com.br>
>>>>>> escreveu:
>>>>>>
>>>>>>> agora as 15:30 varios clientes comecaram a bombardear de ataque
>>>>>>> novamente. upload de 10 a 12 mb.
>>>>>>>
>>>>>>> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
>>>>>>>
>>>>>>>
>>>>>>> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
>>>>>>>> Olá pessoal,
>>>>>>>>
>>>>>>>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
>>>>>>>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9
>>>> trojans!
>>>>>>>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
>>>>>>>>
>>>>>>>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
>>>>>>>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
>>>>>>>>>
>>>>>>>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
>>>>>>>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
>>>>>>>>>>
>>>>>>>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
>>>>>>>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
>>>>>>>>>> somente 2 programa instalei, um chamado braziltv que é onde vem os
>>>>>>>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
>>>>>>>>>> Nenhum programa de VPN nem conteudo adulto nada.
>>>>>>>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
>>>>>>>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as
>> 04:23.
>>>>>>>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
>>>>>>>>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
>>>>>>>>>> entao seja la o que for so de ele estar ligado sem estar aberto
>>>> nada
>>>>>>>>>> ja é suficiente para ser usado para atacar outros.
>>>>>>>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
>>>>>>>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
>>>>>>>>>> os canais continuam funcionando o trafego continua sendo gerado
>>>>>>>>>> claro, mas pelo menos nao sai mais pra fora da rede.
>>>>>>>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
>>>>>>>>>> minha contribuição.
>>>>>>>>>>
>>>>>>>>>> Faixa de ataques ontem aqui foi
>>>>>>>>>> 74.91.113.215
>>>>>>>>>> 74.91.117.185
>>>>>>>>>> 74.91.121.178
>>>>>>>>>> 74.91.123.202
>>>>>>>>>> 74.91.125.208
>>>>>>>>>> 74.91.113.81
>>>>>>>>> Aproveitando monitora esse dispositivo pra ver se está saindo
>>>> conexão
>>>>>>>>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo
>>>>> daí.
>>>>>>>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
>>>>>>>>>>> Boa tarde galera.
>>>>>>>>>>>
>>>>>>>>>>> Aqui começou novamente,.
>>>>>>>>>>>
>>>>>>>>>>> Mesmo destino (NFO Servers).
>>>>>>>>>>> IP e porta destino sempre mudando.
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
>>>>>>>>>>> <wagner at seanet.com.br>
>>>>>>>>>>> escreveu:
>>>>>>>>>>>
>>>>>>>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi
>>>> esse
>>>>> AS
>>>>>>>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em direção a
>>>>> AWS.
>>>>>>>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha
>>>> alguma
>>>>>>>>>>>> VPN
>>>>>>>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
>>>>>>>>>>>> instalada. Pode
>>>>>>>>>>>> estar aí o furo.
>>>>>>>>>>>>
>>>>>>>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
>>>>>>>>>>>> gondim at linuxinfo.com.br> escreveu:
>>>>>>>>>>>>
>>>>>>>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
>>>>>>>>>>>>>
>>>>>>>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
>>>>>>>>>>>>>> sofram com
>>>>>>>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou
>>>> até
>>>>>>>>>>>>> bloquear
>>>>>>>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
>>>>>>>>>>>>>> IPTV. Aqui
>>>>>>>>>>>>> no
>>>>>>>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
>>>>>>>>>>>>>> teremos que
>>>>>>>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha
>>>> notificações
>>>>>>>>>>>>>> informando que estamos originando tais ataques. O interessante
>>>> é
>>>>>>>>>>>>>> que
>>>>>>>>>>>>> está
>>>>>>>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
>>>>>>>>>>>>>> estados
>>>>>>>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
>>>>>>>>>>>>>> essas IPTV
>>>>>>>>>>>>> se
>>>>>>>>>>>>>> conectam e puder compartilhar aqui na lista, seria de grande
>>>>> valia.
>>>>>>>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO
>>>>> AS14586.
>>>>>>>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
>>>>>>>>>>>>> indica que
>>>>>>>>>>>>> tem a ver com servidores de jogos.
>>>>>>>>>>>>> https://www.nfoservers.com/
>>>>>>>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
>>>>>>>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
>>>>>>>>>>>>>> fischerdouglas at gmail.com> escreveu:
>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes
>> e
>>>>>>>>>>>>>>> não está
>>>>>>>>>>>>>>> sofrendo com isso...
>>>>>>>>>>>>>>> --
>>>>>>>> --
>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>> --
>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


-- 



More information about the gter mailing list