Relatório de ameaça IP
4.223.137.70
ABUSE.MOM — COMPORTE-SE OU SERÁ EXPOSTO
Geolocalização e classificação
Assinaturas de detecção
| Assinatura | Descrição | Pontos | Gravidade |
|---|---|---|---|
| UA suspicious (short/empty) | Anomalia comportamental detectada automaticamente | +15 | |
| Danger strong hits: 28 | Caminhos de alto risco: shells, RCE, exploits | +100 | |
| Danger medium hits: 609 | Risco médio: painéis admin, arquivos de configuração | +60 | |
| Burst: 44 req / 2s | Taxa de solicitações anormalmente alta — varredura | +35 | |
| Burst: 119 req / 10s | Taxa de solicitações anormalmente alta — varredura | +35 |
Atividade observada
Solicitações HTTP reconstruídas dos logs do servidor. Domínios alvo ocultados por segurança.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Cronologia
Provedor de rede
Recomendações
Ações tomadas e recomendadas
- IP 4.223.137.70 está bloqueado no nível da aplicação (HTTP 403)
- Considere bloquear no nível do firewall (iptables/CSF)
- Outros IPs maliciosos detectados na mesma sub-rede /24 — considere bloquear 4.223.137.0/24
- Reporte o abuso ao provedor de rede através do contato de abuso
- Garanta que arquivos sensíveis (.env, .git) não sejam acessíveis pela web
🤖 Defesa contra anomalias User-Agent
IP 4.223.137.70 mostra comportamento UA suspeito. Bloqueie requisições com User-Agent vazio.
🌊 Mitigação de inundação/DDoS
Implemente limit_req_zone no nginx. Implante CDN com proteção DDoS. Configure SYN cookies para controlar 4.223.137.70.
Vizinhos em 4.223.137.0/24
Outros IPs bloqueados da mesma sub-rede /24 — indica abuso sistemático desta faixa de rede.
Status em listas negras (DNSBL)
Este IP foi verificado nas principais listas negras DNS usadas por servidores de e-mail e firewalls.
Verificado: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect.
Threat Analysis
4.223.137.70 has been assigned a threat score of 245/100 (Critical). Com esta classificação, o IP se enquadra na faixa de severidade crítica — entre os endereços mais perigosos em nosso banco de dados de monitoramento.
The following attack categories were identified:
📊 Threat Analysis
A análise de inteligência de ameaças vinculou 4.223.137.70 a atividade maliciosa originada de Gävle, Sweden, operando na rede de Microsoft Corporation. O endereço está sob observação desde sua detecção inicial. O endereço esteve ativo por 1 dias em nosso sistema de monitoramento, produzindo 1 requisições sinalizadas a uma taxa de ~1/dia. Classificado como IP de hosting, este endereço provavelmente funciona em um servidor alugado ou instância em nuvem. Dois padrões de ataque foram identificados (User-Agent Anomaly e Request Flooding), sugerindo uma campanha semi-automatizada que visa múltiplas vulnerabilidades. Nossos registros mostram 101 IPs maliciosos originados de Sweden, posicionando-o como um contribuinte significativa para atividade de ameaças global. Uma pontuação de 245/100 coloca este endereço no nível mais alto de severidade.
This IP belongs to a hosting or data center provider. Malicious traffic from hosting infrastructure often originates from compromised VPS instances, rented servers used for scanning campaigns, or abused free-tier cloud accounts. Hosting providers typically respond to abuse reports within 24-72 hours.
Related Threats
Security Intelligence
💡 HTTP Header Analysis for Threat Detection
Examining HTTP headers beyond User-Agent reveals attack tools and automated scripts. Missing standard headers, unusual ordering, non-standard values, and inconsistencies with claimed client identity all serve as reliable detection signals.
💡 TLS Certificate Misconfigurations
Expired, self-signed, or misconfigured TLS certificates create security vulnerabilities and trust issues. Certificate monitoring, automated renewal through ACME protocols, and proper certificate chain configuration prevent both security gaps and service disruptions.