Отчёт по IP-адресу
109.68.215.224
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA changed for same IP | Несколько User-Agent строк — ротация бота | +25 | |
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 | |
| Probe pattern 302->404 same path | Поведенческая аномалия обнаружена автоматически | +20 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 109.68.215.224 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 109.68.215.224: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🔎 Защита от сканирования каталогов
IP 109.68.215.224 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 21 | FTP | Medium | File Transfer Protocol — often targeted for anonymous login attacks |
| 110 | POP3 | Low | Service on port 110 |
| 143 | IMAP | Low | Service on port 143 |
| 995 | POP3S | Low | Service on port 995 |
| 8080 | HTTP-Alt | Low | HTTP alternative port — often used for admin panels or proxies |
| 8083 | Unknown | Low | Service on port 8083 |
| 8443 | HTTPS-Alt | Low | Service on port 8443 |
| 10050 | Unknown | Low | Service on port 10050 |
⚠️ Сетевое сканирование выявило 1 опасных сервис на 109.68.215.224. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
| CVE ID | Link |
|---|---|
| CVE-2013-0942 | NVD → |
| CVE-2024-38477 | NVD → |
| CVE-2021-4160 | NVD → |
| CVE-2009-3767 | NVD → |
| CVE-2025-68160 | NVD → |
| CVE-2022-23943 | NVD → |
| CVE-2019-17567 | NVD → |
| CVE-2019-1547 | NVD → |
| CVE-2011-1176 | NVD → |
| CVE-2021-3711 | NVD → |
| CVE-2024-47252 | NVD → |
| CVE-2023-0466 | NVD → |
| CVE-2019-10092 | NVD → |
| CVE-2023-5678 | NVD → |
| CVE-2022-29404 | NVD → |
| CVE-2023-3446 | NVD → |
| CVE-2023-0465 | NVD → |
| CVE-2023-4807 | NVD → |
| CVE-2019-1549 | NVD → |
| CVE-2019-10081 | NVD → |
| CVE-2022-2097 | NVD → |
| CVE-2018-1333 | NVD → |
| CVE-2018-1283 | NVD → |
| CVE-2021-3449 | NVD → |
| CVE-2024-38472 | NVD → |
🔴 На этом хосте обнаружено 137 известных CVE, связанных с его открытыми сервисами. Такой объём указывает на крайне устаревшее ПО. Проверьте каждую CVE в базе NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
109.68.215.224 получил оценку угрозы 80/100 (Критический). Это угроза критического уровня. Системным администраторам следует рассматривать этот IP как враждебный и блокировать все входящие соединения без исключений.
Обнаружены следующие категории атак:
📊 Threat Analysis
109.68.215.224 зарегистрирован в St Petersburg, Russia, работающий в сети JSC "TIMEWEB". Этот IP впервые появился в наших лентах угроз после срабатывания множества поведенческих сигнатур обнаружения. В течение 1-дневного окна наблюдения мы зафиксировали 1 враждебных запросов с этого IP — примерно 1 в день в среднем. Работая из инфраструктуры дата-центра, этот IP типичен для адресов, используемых в организованных атакующих операциях. Облачные и VPS-провайдеры часто эксплуатируются как стартовые площадки для автоматического сканирования. Обнаружены два паттерна атак (Аномалия User-Agent и Перебор путей), что указывает на полуавтоматическую кампанию, нацеленную на несколько уязвимостей. Russia в настоящее время составляет 115 заблокированных IP в нашей базе данных, что делает её значительным источником вредоносного трафика. Оценка 80/100 указывает на подтверждённого вредоносного агента. Блокировка на сетевом уровне уместна.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 TLS Fingerprinting (JA3/JA4)
TLS fingerprinting creates unique identifiers based on how clients negotiate encrypted connections. The JA3 and JA4 methods generate hashes from TLS ClientHello parameters, enabling identification of specific tools and malware regardless of IP address changes.
💡 DNS Sinkholing for Malware Defense
DNS sinkholing redirects queries for known malicious domains to controlled IP addresses. This technique blocks malware communication, prevents data exfiltration, and identifies compromised internal hosts attempting to contact command-and-control servers.