Отчёт по IP-адресу
130.131.224.225
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Burst 16/2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 17/2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 18/2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 19/2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 51/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 52/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 54/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 56/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 57/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 58/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 59/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 61/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 62/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 65/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 67/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger medium hits: 271 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger medium hits: 274 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger medium hits: 404 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger medium hits: 411 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger strong hits: 12 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 18 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 24 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Probe 302→404 | Поведенческая аномалия обнаружена автоматически | +20 | |
| UA suspicious | Поведенческая аномалия обнаружена автоматически | +15 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 130.131.224.225 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от перебора путей
Заблокируйте сканирование от 130.131.224.225: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
🌊 Защита от флуда/DDoS
Внедрите limit_req_zone в nginx. Разверните CDN с защитой от DDoS. Настройте SYN cookies и отслеживание соединений для дросселирования 130.131.224.225.
🤖 Обнаружение ботов
Борьба с подделкой UA от 130.131.224.225: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
130.131.224.225 получил оценку угрозы 280/100 (Критический). С такой оценкой IP попадает в критическую зону — в число наиболее опасных адресов в нашей базе мониторинга.
Обнаружены следующие категории атак:
📊 Threat Analysis
Адрес 130.131.224.225 происходит из Des Moines, United States, работающий в сети Microsoft Corporation. Он был идентифицирован в ходе автоматического анализа входящего сетевого трафика на мониторируемых узлах. Адрес был активен 3 дней в нашей системе мониторинга, произведя 1,961 подозрительных запросов со скоростью ~653.7/день. Классифицированный как хостинговый IP, этот адрес скорее всего работает на арендованном сервере или облачном инстансе. Атакующие предпочитают IP дата-центров за их высокую пропускную способность и одноразовость. Комбинация 3 различных векторов атак указывает на изощрённого, многовекторного агента угрозы, использующего автоматизированные инструменты для одновременного зондирования множества поверхностей атаки. United States в настоящее время составляет 101 заблокированных IP в нашей базе данных, что делает её значительным источником вредоносного трафика. При 280/100 это крайне высокорисковый адрес. Весь трафик следует считать враждебным.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 DDoS Mitigation Approaches
Distributed denial of service attacks overwhelm infrastructure with traffic volume. Effective mitigation combines always-on traffic scrubbing, anycast network distribution, rate limiting, and the ability to quickly scale absorption capacity during attacks.
💡 Zero-Day Vulnerability Markets
Zero-day vulnerabilities command premium prices in both legitimate and criminal markets. Government agencies, defensive security firms, and criminal organizations compete for these undisclosed flaws, creating a complex ecosystem around vulnerability discovery and disclosure.