Отчёт по IP-адресу
103.221.222.85
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger medium hits: 4 | Запросы к админ-панелям, файлам конфигурации | +40 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Probe pattern 302->404 same path | Поведенческая аномалия обнаружена автоматически | +20 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 103.221.222.85 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от перебора путей
Заблокируйте сканирование от 103.221.222.85: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 21 | FTP | Medium | File Transfer Protocol — often targeted for anonymous login attacks |
| 53 | DNS | Low | DNS server — potential for DNS amplification attacks |
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 110 | POP3 | Low | Service on port 110 |
| 443 | HTTPS | Low | HTTPS web server — encrypted web traffic |
| 465 | Unknown | Low | Service on port 465 |
| 993 | IMAPS | Low | Service on port 993 |
| 995 | POP3S | Low | Service on port 995 |
| 2202 | Unknown | Low | Service on port 2202 |
| 3306 | MySQL | High | MySQL database — should never be exposed to the internet |
| 8090 | Unknown | Low | Service on port 8090 |
⚠️ Сетевое сканирование выявило 2 опасных сервисов на 103.221.222.85. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
| CVE ID | Link |
|---|---|
| CVE-2019-6111 | NVD → |
| CVE-2008-3844 | NVD → |
| CVE-2025-32728 | NVD → |
| CVE-2020-15778 | NVD → |
| CVE-2021-41617 | NVD → |
| CVE-2020-14145 | NVD → |
| CVE-2023-51385 | NVD → |
| CVE-2016-20012 | NVD → |
| CVE-2018-20685 | NVD → |
| CVE-2018-15473 | NVD → |
| CVE-2017-15906 | NVD → |
| CVE-2025-26465 | NVD → |
| CVE-2007-2768 | NVD → |
| CVE-2023-51767 | NVD → |
| CVE-2019-6110 | NVD → |
| CVE-2018-15919 | NVD → |
| CVE-2023-38408 | NVD → |
| CVE-2023-48795 | NVD → |
| CVE-2019-6109 | NVD → |
| CVE-2026-35414 | NVD → |
| CVE-2021-36368 | NVD → |
🔴 Сканирование безопасности выявило 21 записей уязвимостей на этом хосте. Такой объём указывает на крайне устаревшее ПО. Сверьтесь с рекомендациями NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
103.221.222.85 получил оценку угрозы 75/100 (Высокий). IP оценивается как угроза высокого уровня. Сетевым администраторам следует создать правила блокировки и отслеживать любые подключения с этого адреса.
Обнаружены следующие категории атак:
📊 Threat Analysis
Наша инфраструктура мониторинга идентифицировала 103.221.222.85, геолоцированный в Ho Chi Minh City, Vietnam, работающий в сети AZDIGI Corporation, как источник подозрительной сетевой активности. Адрес был активен 1 дней в нашей системе мониторинга, произведя 1 подозрительных запросов со скоростью ~1/день. Этот жилой IP — вероятно, скомпрометированное пользовательское устройство. Домашние роутеры и IoT-оборудование с паролями по умолчанию — главные цели операторов ботнетов. Обнаружено активное сканирование путей — этот IP зондирует сотни распространённых имён файлов и директорий. Наши записи показывают 101 вредоносных IP, исходящих из Vietnam, что позиционирует её как значительным источник глобальной угрозы. При 75/100 этот IP требует немедленных защитных действий.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
🇻🇳 Топ угроз из Vietnam
103.216.118.66 (273)210.2.86.189 (235)103.61.123.221 (235)116.118.47.174 (235)14.225.32.188 (235)Смотреть все →🏢 Та же сеть: AS63760
Смотреть все →Аналитика безопасности
💡 Credential Stuffing at Scale
Credential stuffing uses stolen username-password pairs from data breaches to attempt logins across many websites. Since users frequently reuse passwords, these automated attacks achieve success rates of 0.1-2%, which translates to thousands of compromised accounts from millions of attempts.
💡 HTTP/2 and HTTP/3 Security Implications
Modern HTTP protocols introduce new attack surfaces including stream multiplexing abuse, header compression attacks (HPACK bombing), and rapid reset attacks. Security tools must evolve to handle these protocol-specific threats effectively.