[GTER] IPTV-PIRATA como origem de DoS

Andre Almeida andre at bnet.com.br
Fri Jun 28 14:16:06 -03 2019


Alexandre, o Jonni disse que mesmo sem abrir o APP de streaming, ocorre os
ataques.
Dificil ser algo a ver com o tráfego "legítimo" de IPTV.



Em sex, 28 de jun de 2019 às 13:24, Alexandre J. Correa (Onda) <
alexandre at onda.net.br> escreveu:

>
> O trafego TCP pode ser o servidor de streaming, que neste caso, não
> seria a intenção bloquear o serviço de TV (legalmente ou não). Ai
> estaria infringindo o Marco Civil mesmo....
>
>
> Em 28/06/2019 10:16, Andre Almeida escreveu:
> > Jonni, veja se há algum tráfego TCP no momento que você liga ele...
> > Tenta bloquear 1 a 1 esses IPs que tentam fazer contato TCP
> >
> > Como o ataque é UDP e está diretamente ligado aos servidores NFO Servers,
> > creio que não tem nada a ver com uma possível rede P2P.
> > É isso que o @Fernando Frediani recebeu de resposta dos caras lá...
> > Tentar ver tráfego TCP que possa ser do C&C
> >
> > Att
> >
> >
> > Em sex, 28 de jun de 2019 às 08:22, Juliano GigaNET <
> juliano at giganet.net.py>
> > escreveu:
> >
> >> Bom dia.
> >>
> >> Entrei em contato como representante da marca, expliquei a situacao que
> >> esta ocorrendo com o produto dele e o mesmo ficou de me dar uma resposta
> >> amanha. Ele ficou de entrar em contato com o desenvolvedor do firmware
> >> na china e buscar uma solucao. Acredito que em breve o aparelho tera uma
> >> atualizacao de firmware.
> >>
> >> Manterei voces informado de qualquer novidade.
> >>
> >> Atte
> >>
> >>
> >> Às 20:45 de 27/06/2019, Rafael Ribeiro escreveu:
> >>> Exato e agora a HTV diz ter uma solução cloud .. eu acredito que o
> cloud
> >>> deles é p2p cliente cliente ... quase impossível de se bloquear ... pq
> >> não
> >>> é apenas banir um ip ..
> >>>
> >>> Em qui, 27 de jun de 2019 21:08, Rubens Kuhl <rubensk at gmail.com>
> >> escreveu:
> >>>> Um detalhe que foi citado "upload alto"; isso pode tanto ser fluxo de
> >>>> ataque, quanto ser transmissão (mesmo live) P2P, onde quem recebe
> >> tráfego
> >>>> ajuda a disseminar para outros viewers do mesmo fluxo. Para ir de
> >> "upload
> >>>> alto" para ataque é necessária uma caracterização mais cuidadosa, para
> >>>> diferenciar de soluções como SopCast.
> >>>>
> >>>>
> >>>> Rubens
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> On Thu, Jun 27, 2019 at 11:56 PM Alexandre Guimaraes <
> >>>> alexandre.fguimaraes at gmail.com> wrote:
> >>>>
> >>>>> Esperae!!! Para!!!
> >>>>>
> >>>>> Qual a banda que vc vendeu? 100Mbps Up/Down?
> >>>>>
> >>>>> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV,
> >>>>> PlayStation, Netflix, Torrent.... isso não interessa.
> >>>>>
> >>>>> A única coisa que vc precisa apontar quando vier uma reclamação do
> CERT
> >>>> ou
> >>>>> da justiça, eh informar o cliente e pronto.
> >>>>>
> >>>>> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em
> >>>> serviço
> >>>>> privado.
> >>>>>
> >>>>> O problema que estou vendo aqui, é não ter a capacidade para atender
> às
> >>>>> demandas crescentes... sejam de ataques, bots, heavy users e Netflix
> e
> >>>>> afins....
> >>>>>
> >>>>> Alexandre
> >>>>>
> >>>>>> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br>
> wrote:
> >>>>>>
> >>>>>> Tbm notei o ataque nesse mesmo horário
> >>>>>>
> >>>>>> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer <
> >>>>> jhonnyp at deltaativa.com.br>
> >>>>>> escreveu:
> >>>>>>
> >>>>>>> agora as 15:30 varios clientes comecaram a bombardear de ataque
> >>>>>>> novamente. upload de 10 a 12 mb.
> >>>>>>>
> >>>>>>> Marcelo, voce disse que o antivirus pegou, mas ele consegue
> remover?
> >>>>>>>
> >>>>>>>
> >>>>>>> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
> >>>>>>>> Olá pessoal,
> >>>>>>>>
> >>>>>>>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
> >>>>>>>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9
> >>>> trojans!
> >>>>>>>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
> >>>>>>>>
> >>>>>>>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
> >>>>>>>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
> >>>>>>>>>
> >>>>>>>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
> >>>>>>>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
> >>>>>>>>>>
> >>>>>>>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
> >>>>>>>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
> >>>>>>>>>> somente 2 programa instalei, um chamado braziltv que é onde vem
> os
> >>>>>>>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
> >>>>>>>>>> Nenhum programa de VPN nem conteudo adulto nada.
> >>>>>>>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
> >>>>>>>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as
> >> 04:23.
> >>>>>>>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
> >>>>>>>>>> estava rodando nenhum canal, somente na tele inicial do
> aparelho,
> >>>>>>>>>> entao seja la o que for so de ele estar ligado sem estar aberto
> >>>> nada
> >>>>>>>>>> ja é suficiente para ser usado para atacar outros.
> >>>>>>>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta
> 23
> >>>>>>>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
> >>>>>>>>>> os canais continuam funcionando o trafego continua sendo gerado
> >>>>>>>>>> claro, mas pelo menos nao sai mais pra fora da rede.
> >>>>>>>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas
> é
> >>>>>>>>>> minha contribuição.
> >>>>>>>>>>
> >>>>>>>>>> Faixa de ataques ontem aqui foi
> >>>>>>>>>> 74.91.113.215
> >>>>>>>>>> 74.91.117.185
> >>>>>>>>>> 74.91.121.178
> >>>>>>>>>> 74.91.123.202
> >>>>>>>>>> 74.91.125.208
> >>>>>>>>>> 74.91.113.81
> >>>>>>>>> Aproveitando monitora esse dispositivo pra ver se está saindo
> >>>> conexão
> >>>>>>>>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair
> algo
> >>>>> daí.
> >>>>>>>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
> >>>>>>>>>>> Boa tarde galera.
> >>>>>>>>>>>
> >>>>>>>>>>> Aqui começou novamente,.
> >>>>>>>>>>>
> >>>>>>>>>>> Mesmo destino (NFO Servers).
> >>>>>>>>>>> IP e porta destino sempre mudando.
> >>>>>>>>>>>
> >>>>>>>>>>>
> >>>>>>>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
> >>>>>>>>>>> <wagner at seanet.com.br>
> >>>>>>>>>>> escreveu:
> >>>>>>>>>>>
> >>>>>>>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi
> >>>> esse
> >>>>> AS
> >>>>>>>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em
> direção a
> >>>>> AWS.
> >>>>>>>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha
> >>>> alguma
> >>>>>>>>>>>> VPN
> >>>>>>>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
> >>>>>>>>>>>> instalada. Pode
> >>>>>>>>>>>> estar aí o furo.
> >>>>>>>>>>>>
> >>>>>>>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
> >>>>>>>>>>>> gondim at linuxinfo.com.br> escreveu:
> >>>>>>>>>>>>
> >>>>>>>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
> >>>>>>>>>>>>>
> >>>>>>>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
> >>>>>>>>>>>>>> sofram com
> >>>>>>>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal
> chegou
> >>>> até
> >>>>>>>>>>>>> bloquear
> >>>>>>>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
> >>>>>>>>>>>>>> IPTV. Aqui
> >>>>>>>>>>>>> no
> >>>>>>>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
> >>>>>>>>>>>>>> teremos que
> >>>>>>>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha
> >>>> notificações
> >>>>>>>>>>>>>> informando que estamos originando tais ataques. O
> interessante
> >>>> é
> >>>>>>>>>>>>>> que
> >>>>>>>>>>>>> está
> >>>>>>>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear
> nos
> >>>>>>>>>>>>>> estados
> >>>>>>>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
> >>>>>>>>>>>>>> essas IPTV
> >>>>>>>>>>>>> se
> >>>>>>>>>>>>>> conectam e puder compartilhar aqui na lista, seria de grande
> >>>>> valia.
> >>>>>>>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO
> >>>>> AS14586.
> >>>>>>>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
> >>>>>>>>>>>>> indica que
> >>>>>>>>>>>>> tem a ver com servidores de jogos.
> >>>>>>>>>>>>> https://www.nfoservers.com/
> >>>>>>>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
> >>>>>>>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
> >>>>>>>>>>>>>> fischerdouglas at gmail.com> escreveu:
> >>>>>>>>>>>>>>
> >>>>>>>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000
> clientes
> >> e
> >>>>>>>>>>>>>>> não está
> >>>>>>>>>>>>>>> sofrendo com isso...
> >>>>>>>>>>>>>>> --
> >>>>>>>> --
> >>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>> --
> >>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>
> >>>>>> --
> >>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>> --
> >>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>
> >>>> --
> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> --
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list