Relatório de ameaça IP
158.158.52.225
ABUSE.MOM — COMPORTE-SE OU SERÁ EXPOSTO
Geolocalização e classificação
Assinaturas de detecção
| Assinatura | Descrição | Pontos | Gravidade |
|---|---|---|---|
| UA suspicious (short/empty) | Anomalia comportamental detectada automaticamente | +15 | |
| Danger strong hits: 134 | Caminhos de alto risco: shells, RCE, exploits | +100 | |
| Danger medium hits: 916 | Risco médio: painéis admin, arquivos de configuração | +60 | |
| Burst: 83 req / 2s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 200 req / 10s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Danger strong hits: 98 | Caminhos de alto risco: shells, RCE, exploits | +100 | |
| Danger medium hits: 610 | Risco médio: painéis admin, arquivos de configuração | +60 | |
| Probe pattern 302->404 same path | Anomalia comportamental detectada automaticamente | +20 | |
| Burst: 63 req / 2s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 39 req / 2s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 131 req / 10s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Danger strong hits: 49 | Caminhos de alto risco: shells, RCE, exploits | +100 | |
| Danger medium hits: 311 | Risco médio: painéis admin, arquivos de configuração | +60 | |
| Burst: 35 req / 2s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 122 req / 10s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 42 req / 2s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 132 req / 10s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 40 req / 2s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 143 req / 10s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 145 req / 10s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 38 req / 2s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 128 req / 10s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 43 req / 2s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 144 req / 10s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 37 req / 2s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 126 req / 10s | Taxa de solicitações anormalmente alta — varredura | +35 |
Atividade observada
Solicitações HTTP reconstruídas dos logs do servidor. Domínios alvo ocultados por segurança.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Cronologia
Provedor de rede
Recomendações
Ações tomadas e recomendadas
- IP 158.158.52.225 está bloqueado no nível da aplicação (HTTP 403)
- Considere bloquear no nível do firewall (iptables/CSF)
- Outros IPs maliciosos detectados na mesma sub-rede /24 — considere bloquear 158.158.52.0/24
- Reporte o abuso ao provedor de rede através do contato de abuso
- Garanta que arquivos sensíveis (.env, .git) não sejam acessíveis pela web
🤖 Defesa contra anomalias User-Agent
IP 158.158.52.225 mostra comportamento UA suspeito. Bloqueie requisições com User-Agent vazio.
🌊 Mitigação de inundação/DDoS
Implemente limit_req_zone no nginx. Implante CDN com proteção DDoS. Configure SYN cookies para controlar 158.158.52.225.
🔎 Defesa contra varredura de diretórios
IP 158.158.52.225 está enumerando diretórios. Configure fail2ban com jail apache-404 após 10+ erros 404.
Vizinhos em 158.158.52.0/24
Outros IPs bloqueados da mesma sub-rede /24 — indica abuso sistemático desta faixa de rede.
Status em listas negras (DNSBL)
Este IP foi verificado nas principais listas negras DNS usadas por servidores de e-mail e firewalls.
Verificado: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect.
Threat Analysis
158.158.52.225 has been assigned a threat score of 265/100 (Critical). Isso o coloca na categoria de ameaça crítica. O bloqueio imediato é fortemente recomendado em todos os perímetros de rede.
The following attack categories were identified:
📊 Threat Analysis
158.158.52.225 está registrado em Madrid, Spain, operando na rede de Microsoft Corporation. Este IP apareceu pela primeira vez em nossos feeds de ameaças após acionar múltiplas assinaturas de detecção comportamental. Durante sua janela de observação de 1 dias, registramos 10 requisições hostis deste IP — aproximadamente 10 por dia em média. Classificado como IP de hosting, este endereço provavelmente funciona em um servidor alugado ou instância em nuvem. Com 3 padrões de ataque diferentes detectados, este IP exibe comportamento característico de frameworks de varredura automatizada avançados. Spain atualmente responde por 103 IPs bloqueados em nosso banco de dados, sendo uma fonte significativa de tráfego malicioso. Com uma pontuação de 265/100, este IP está entre os mais perigosos do nosso banco de dados. Bloqueio imediato e completo é fortemente recomendado.
This IP belongs to a hosting or data center provider. Malicious traffic from hosting infrastructure often originates from compromised VPS instances, rented servers used for scanning campaigns, or abused free-tier cloud accounts. Hosting providers typically respond to abuse reports within 24-72 hours.
Related Threats
Security Intelligence
💡 TLS Fingerprinting (JA3/JA4)
TLS fingerprinting creates unique identifiers based on how clients negotiate encrypted connections. The JA3 and JA4 methods generate hashes from TLS ClientHello parameters, enabling identification of specific tools and malware regardless of IP address changes.
💡 HTTP Request Smuggling
Request smuggling exploits differences in how front-end and back-end servers parse HTTP requests. This technique can bypass security controls, poison web caches, and hijack other users sessions by desynchronizing request boundaries.