Relatório de ameaça IP
88.198.25.144
ABUSE.MOM — COMPORTE-SE OU SERÁ EXPOSTO
Geolocalização e classificação
Assinaturas de detecção
| Assinatura | Descrição | Pontos | Gravidade |
|---|---|---|---|
| Danger medium hits: 2 | Risco médio: painéis admin, arquivos de configuração | +20 | |
| Probe pattern 302->404 same path | Anomalia comportamental detectada automaticamente | +20 | |
| Foreign referer seen | Referer de domínio externo não relacionado | +10 | |
| UA changed for same IP | Múltiplos User-Agents — técnica de rotação de bot | +25 | |
| Danger medium hits: 6 | Risco médio: painéis admin, arquivos de configuração | +60 | |
| Danger medium hits: 4 | Risco médio: painéis admin, arquivos de configuração | +40 |
Atividade observada
Solicitações HTTP reconstruídas dos logs do servidor. Domínios alvo ocultados por segurança.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Cronologia
Provedor de rede
Recomendações
Ações tomadas e recomendadas
- IP 88.198.25.144 está bloqueado no nível da aplicação (HTTP 403)
- Considere bloquear no nível do firewall (iptables/CSF)
- Reporte o abuso ao provedor de rede através do contato de abuso
- Garanta que arquivos sensíveis (.env, .git) não sejam acessíveis pela web
🔎 Defesa contra varredura de diretórios
IP 88.198.25.144 está enumerando diretórios. Configure fail2ban com jail apache-404 após 10+ erros 404.
🤖 Defesa contra anomalias User-Agent
IP 88.198.25.144 mostra comportamento UA suspeito. Bloqueie requisições com User-Agent vazio.
Portas abertas e serviços
Dados de reconhecimento de rede do Shodan. Portas abertas podem indicar serviços em execução, configurações incorretas ou superfícies de ataque.
| Port | Service | Risk | Description |
|---|---|---|---|
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 135 | Unknown | Low | Service on port 135 |
| 1801 | Unknown | Low | Service on port 1801 |
| 3389 | RDP | High | Remote Desktop Protocol — primary target for ransomware attacks |
| 5985 | Unknown | Low | Service on port 5985 |
| 8000 | Unknown | Low | Service on port 8000 |
| 8080 | HTTP-Alt | Low | HTTP alternative port — often used for admin panels or proxies |
⚠️ Foram detectadas 1 porta de alto risco em 88.198.25.144. RDP exposto (3389) é o vetor #1 para ataques de ransomware. Estes serviços não devem ser acessíveis publicamente sem regras rígidas de firewall.
| CVE ID | Link |
|---|---|
| CVE-2021-32791 | NVD → |
| CVE-2021-26691 | NVD → |
| CVE-2018-1302 | NVD → |
| CVE-2018-0732 | NVD → |
| CVE-2023-3817 | NVD → |
| CVE-2024-38472 | NVD → |
| CVE-2022-1292 | NVD → |
| CVE-2019-9020 | NVD → |
| CVE-2020-11579 | NVD → |
| CVE-2017-7272 | NVD → |
| CVE-2016-1283 | NVD → |
| CVE-2023-0215 | NVD → |
| CVE-2023-2650 | NVD → |
| CVE-2024-27316 | NVD → |
| CVE-2015-9253 | NVD → |
| CVE-2017-11142 | NVD → |
| CVE-2016-7055 | NVD → |
| CVE-2025-58098 | NVD → |
| CVE-2017-7668 | NVD → |
| CVE-2022-31628 | NVD → |
| CVE-2019-10082 | NVD → |
| CVE-2023-25690 | NVD → |
| CVE-2009-3766 | NVD → |
| CVE-2024-38475 | NVD → |
| CVE-2025-53020 | NVD → |
🔴 Este host possui 191 CVEs conhecidos associados aos seus serviços expostos. Este volume sugere software severamente desatualizado. Revise cada CVE no banco de dados NVD.
Fonte: Shodan InternetDB. Escaneado independentemente do abuse.mom.
Status em listas negras (DNSBL)
Este IP foi verificado nas principais listas negras DNS usadas por servidores de e-mail e firewalls.
Verificado: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect.
Threat Analysis
88.198.25.144 has been assigned a threat score of 115/100 (Critical). Uma pontuação tão alta marca um ator de ameaça crítico. Este endereço demonstrou comportamento malicioso persistente e agressivo em múltiplos vetores de detecção.
The following attack categories were identified:
📊 Threat Analysis
88.198.25.144 está registrado em Falkenstein, Germany, operando na rede de Hetzner Online GmbH. Este IP apareceu pela primeira vez em nossos feeds de ameaças após acionar múltiplas assinaturas de detecção comportamental. Nossos sensores capturaram 17 requisições maliciosas deste endereço em um período de 18 dias, refletindo uma cadência de ataque sustentada de ~0.9 requisições por dia. O IP é classificado como infraestrutura de hosting/datacenter, comumente associado a servidores alugados para campanhas de ataque automatizadas, comando e controle de botnets, ou varredura de vulnerabilidades em escala. Dois padrões de ataque foram identificados (Path Enumeration e User-Agent Anomaly), sugerindo uma campanha semi-automatizada que visa múltiplas vulnerabilidades. Germany atualmente responde por 63 IPs bloqueados em nosso banco de dados, sendo uma fonte notável de tráfego malicioso. Uma pontuação de 115/100 coloca este endereço no nível mais alto de severidade.
This IP belongs to a hosting or data center provider. Malicious traffic from hosting infrastructure often originates from compromised VPS instances, rented servers used for scanning campaigns, or abused free-tier cloud accounts. Hosting providers typically respond to abuse reports within 24-72 hours.
Related Threats
Security Intelligence
💡 API Abuse and Enumeration
Modern attacks increasingly target APIs rather than traditional web interfaces. Attackers enumerate endpoints, test for broken authentication, and exploit excessive data exposure. API attacks are harder to detect as they mimic legitimate programmatic access patterns.
💡 Emerging Threats from AI-Powered Attacks
Artificial intelligence enables more convincing phishing content, faster vulnerability discovery, and adaptive attack strategies that learn from defensive responses. AI-generated social engineering and automated exploit development represent growing threats.