Отчёт по IP-адресу
118.140.252.214
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger strong hits: 1 | Запросы к опасным путям: шеллы, RCE, эксплойты | +25 | |
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 118.140.252.214 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от перебора путей
Заблокируйте сканирование от 118.140.252.214: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 21 | FTP | Medium | File Transfer Protocol — often targeted for anonymous login attacks |
| 53 | DNS | Low | DNS server — potential for DNS amplification attacks |
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 1443 | Unknown | Low | Service on port 1443 |
| 5555 | Unknown | Low | Service on port 5555 |
⚠️ Обнаружено 1 порт высокого риска на 118.140.252.214. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
| CVE ID | Link |
|---|---|
| CVE-2017-7679 | NVD → |
| CVE-2015-3183 | NVD → |
| CVE-2009-3767 | NVD → |
| CVE-2018-1301 | NVD → |
| CVE-2006-7250 | NVD → |
| CVE-2021-32792 | NVD → |
| CVE-2016-2109 | NVD → |
| CVE-2012-4558 | NVD → |
| CVE-2022-29404 | NVD → |
| CVE-2021-32791 | NVD → |
| CVE-2015-0287 | NVD → |
| CVE-2011-4317 | NVD → |
| CVE-2014-0226 | NVD → |
| CVE-2023-31122 | NVD → |
| CVE-2011-4415 | NVD → |
| CVE-2011-1945 | NVD → |
| CVE-2012-0883 | NVD → |
| CVE-2020-7041 | NVD → |
| CVE-2013-0166 | NVD → |
| CVE-2014-3572 | NVD → |
| CVE-2012-3526 | NVD → |
| CVE-2015-1788 | NVD → |
| CVE-2021-32786 | NVD → |
| CVE-2011-4619 | NVD → |
| CVE-2014-3505 | NVD → |
🔴 Сканирование безопасности выявило 138 записей уязвимостей на этом хосте. Такой объём указывает на крайне устаревшее ПО. Сверьтесь с рекомендациями NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
118.140.252.214 получил оценку угрозы 60/100 (Высокий). Данная оценка указывает на высокую серьёзность угрозы. IP продемонстрировал чёткие паттерны вредоносного поведения, требующие немедленных защитных мер.
Обнаружены следующие категории атак:
📊 Threat Analysis
IP-адрес 118.140.252.214 отслежен до Tsing Yi, Hong Kong, работающий в сети HGC Global Communications Limited. Наши системы обнаружения угроз пометили этот адрес на основе наблюдаемых паттернов вредоносного поведения. Адрес был активен 1 дней в нашей системе мониторинга, произведя 1 подозрительных запросов со скоростью ~1/день. Это жилой IP-адрес, что указывает на скомпрометированное домашнее устройство — роутер, умное устройство или заражённую рабочую станцию, участвующую в ботнете. IP демонстрирует поведение перебора директорий, систематически запрашивая несуществующие пути для обнаружения скрытых файлов и неправильно настроенных ресурсов. С 104 отмеченными адресами Hong Kong представляет значительным присутствие в нашей базе угроз. Оценка 60/100 требует активного мониторинга и ограничения частоты. Полная блокировка рекомендована для критичных систем.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 API Abuse and Enumeration
Modern attacks increasingly target APIs rather than traditional web interfaces. Attackers enumerate endpoints, test for broken authentication, and exploit excessive data exposure. API attacks are harder to detect as they mimic legitimate programmatic access patterns.
💡 Tor Exit Node Detection
Tor exit nodes are publicly listed but constantly rotating. While Tor serves essential privacy functions for journalists and activists, it is also used to anonymize attacks. Effective security policies differentiate between blocking and monitoring Tor traffic.