<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 2 Feb 2022 at 11:05, UDN Tor via tor-relays <<a href="mailto:tor-relays@lists.torproject.org">tor-relays@lists.torproject.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
> Note we believe some of these IPs are part of the Meris or Dvinis<br>
> botnets.  If you are a residential Internet service provider, it is<br>
> possible that your customers' routers themselves have been<br>
> compromised.  You should research the Meris botnet and take<br>
> appropriate actions to have them secure their CPE (customer-premises<br>
> equipment).<br></blockquote><div><br></div><div>This is probably the main reason those reports are being sent.</div><div>Meris is a huge botnet using (at least) tens of thousands of compromised routers. </div><div><a href="https://www.bleepingcomputer.com/news/security/new-m-ris-botnet-breaks-ddos-record-with-218-million-rps-attack/">https://www.bleepingcomputer.com/news/security/new-m-ris-botnet-breaks-ddos-record-with-218-million-rps-attack/</a><br></div><div><br></div><div>Those notices were probably sent automatically to many ISPs hoping some of them would get their customers to fix their routers, and tor exits were probably just not filtered.</div></div></div>