Relatório de ameaça IP
138.201.23.123
ABUSE.MOM — COMPORTE-SE OU SERÁ EXPOSTO
Geolocalização e classificação
Assinaturas de detecção
| Assinatura | Descrição | Pontos | Gravidade |
|---|---|---|---|
| Danger strong hits: 3 | Caminhos de alto risco: shells, RCE, exploits | +75 | |
| Danger medium hits: 2 | Risco médio: painéis admin, arquivos de configuração | +20 |
Atividade observada
Solicitações HTTP reconstruídas dos logs do servidor. Domínios alvo ocultados por segurança.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Cronologia
Provedor de rede
Recomendações
Ações tomadas e recomendadas
- IP 138.201.23.123 está bloqueado no nível da aplicação (HTTP 403)
- Considere bloquear no nível do firewall (iptables/CSF)
- Outros IPs maliciosos detectados na mesma sub-rede /24 — considere bloquear 138.201.23.0/24
- Reporte o abuso ao provedor de rede através do contato de abuso
- Garanta que arquivos sensíveis (.env, .git) não sejam acessíveis pela web
⚙️ Segurança geral
Adicione 138.201.23.123 à lista de bloqueio do seu firewall. Revise logs para conexões bem-sucedidas.
Vizinhos em 138.201.23.0/24
Outros IPs bloqueados da mesma sub-rede /24 — indica abuso sistemático desta faixa de rede.
Portas abertas e serviços
Dados de reconhecimento de rede do Shodan. Portas abertas podem indicar serviços em execução, configurações incorretas ou superfícies de ataque.
| Port | Service | Risk | Description |
|---|---|---|---|
| 53 | DNS | Low | DNS server — potential for DNS amplification attacks |
| 88 | Unknown | Low | Service on port 88 |
| 110 | POP3 | Low | Service on port 110 |
| 143 | IMAP | Low | Service on port 143 |
| 445 | SMB | Critical | SMB file sharing — high-risk for EternalBlue and ransomware |
| 993 | IMAPS | Low | Service on port 993 |
| 2082 | Unknown | Low | Service on port 2082 |
| 2087 | Unknown | Low | Service on port 2087 |
| 3306 | MySQL | High | MySQL database — should never be exposed to the internet |
| 4190 | Unknown | Low | Service on port 4190 |
⚠️ Foram detectadas 2 portas de alto risco em 138.201.23.123. SMB (445) exposto está associado à propagação de worms e exploits EternalBlue. Estes serviços não devem ser acessíveis publicamente sem regras rígidas de firewall.
| CVE ID | Link |
|---|---|
| CVE-2020-0796 | NVD → |
🔴 Este host possui 1 CVEs conhecidos associados aos seus serviços expostos. Mesmo um pequeno número de CVEs pode representar risco significativo. Revise cada CVE no banco de dados NVD.
Fonte: Shodan InternetDB. Escaneado independentemente do abuse.mom.
Status em listas negras (DNSBL)
Este IP foi verificado nas principais listas negras DNS usadas por servidores de e-mail e firewalls.
Verificado: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect.
Threat Analysis
138.201.23.123 has been assigned a threat score of 95/100 (Critical). Uma pontuação tão alta marca um ator de ameaça crítico. Este endereço demonstrou comportamento malicioso persistente e agressivo em múltiplos vetores de detecção.
📊 Threat Analysis
O endereço IP 138.201.23.123 foi rastreado até Falkenstein, Germany, operando na rede de Hetzner Online GmbH. Nossos sistemas de detecção de ameaças sinalizaram este endereço com base em padrões de comportamento malicioso observados. Durante sua janela de observação de 1 dias, registramos 1 requisições hostis deste IP — aproximadamente 1 por dia em média. Este endereço pertence a um provedor de datacenter ou hosting em nuvem. IPs de hosting são frequentemente aproveitados por agentes de ameaças que alugam instâncias VPS baratas especificamente para realizar ataques. Germany atualmente responde por 164 IPs bloqueados em nosso banco de dados, sendo uma fonte significativa de tráfego malicioso. Com uma pontuação de 95/100, este IP está entre os mais perigosos do nosso banco de dados. Bloqueio imediato e completo é fortemente recomendado.
This IP belongs to a hosting or data center provider. Malicious traffic from hosting infrastructure often originates from compromised VPS instances, rented servers used for scanning campaigns, or abused free-tier cloud accounts. Hosting providers typically respond to abuse reports within 24-72 hours.
Related Threats
Security Intelligence
💡 HTTP Request Smuggling
Request smuggling exploits differences in how front-end and back-end servers parse HTTP requests. This technique can bypass security controls, poison web caches, and hijack other users sessions by desynchronizing request boundaries.
💡 Network Segmentation Benefits
Proper network segmentation limits the blast radius of breaches. Even if attackers compromise one segment, properly configured network boundaries prevent lateral movement to critical systems, databases, and administrative interfaces.