Отчёт по IP-адресу
144.91.109.68
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger strong hits: 20 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Burst: 24 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 25 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 | |
| Danger strong hits: 18 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Burst: 23 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 23 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 25 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 6 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 4 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 2 | Запросы к опасным путям: шеллы, RCE, эксплойты | +50 | |
| Burst: 6 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 5 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Burst: 5 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 3 | Запросы к опасным путям: шеллы, RCE, эксплойты | +75 | |
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 | |
| Danger strong hits: 9 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Burst: 9 req / 2s | Аномально высокая частота запросов — сканирование | +35 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 144.91.109.68 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от сканирования каталогов
IP 144.91.109.68 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
🌊 Защита от флуда трафика
IP 144.91.109.68 генерирует чрезмерный трафик. Ограничьте количество соединений с одного IP. Включите географическую блокировку если трафик из этого региона неожидан.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 22 | SSH | Low | Secure Shell — common brute force target for remote access |
| 53 | DNS | Low | DNS server — potential for DNS amplification attacks |
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 110 | POP3 | Low | Service on port 110 |
| 143 | IMAP | Low | Service on port 143 |
| 443 | HTTPS | Low | HTTPS web server — encrypted web traffic |
| 465 | Unknown | Low | Service on port 465 |
| 993 | IMAPS | Low | Service on port 993 |
| 995 | POP3S | Low | Service on port 995 |
| 2077 | Unknown | Low | Service on port 2077 |
| 2082 | Unknown | Low | Service on port 2082 |
| 2083 | Unknown | Low | Service on port 2083 |
| 2086 | Unknown | Low | Service on port 2086 |
| 2087 | Unknown | Low | Service on port 2087 |
| 2095 | Unknown | Low | Service on port 2095 |
| 2096 | Unknown | Low | Service on port 2096 |
| 3306 | MySQL | High | MySQL database — should never be exposed to the internet |
⚠️ Обнаружено 1 порт высокого риска на 144.91.109.68. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
| CVE ID | Link |
|---|---|
| CVE-2025-67896 | NVD → |
| CVE-2024-39929 | NVD → |
| CVE-2023-42115 | NVD → |
| CVE-2022-37451 | NVD → |
| CVE-2007-2768 | NVD → |
| CVE-2023-38408 | NVD → |
| CVE-2023-51767 | NVD → |
| CVE-2020-14145 | NVD → |
| CVE-2019-16905 | NVD → |
| CVE-2016-20012 | NVD → |
| CVE-2021-36368 | NVD → |
| CVE-2025-32728 | NVD → |
| CVE-2021-41617 | NVD → |
| CVE-2023-51766 | NVD → |
| CVE-2023-42116 | NVD → |
| CVE-2025-26465 | NVD → |
| CVE-2022-37452 | NVD → |
| CVE-2023-42117 | NVD → |
| CVE-2023-51385 | NVD → |
| CVE-2021-38371 | NVD → |
| CVE-2023-48795 | NVD → |
| CVE-2008-3844 | NVD → |
| CVE-2023-42119 | NVD → |
| CVE-2022-3559 | NVD → |
| CVE-2023-42114 | NVD → |
🔴 Сканирование безопасности выявило 26 записей уязвимостей на этом хосте. Такой объём указывает на крайне устаревшее ПО. Сверьтесь с рекомендациями NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
144.91.109.68 получил оценку угрозы 195/100 (Критический). Столь высокий балл характеризует критического агента угрозы. Этот адрес демонстрирует устойчивое агрессивное вредоносное поведение по множеству векторов обнаружения.
Обнаружены следующие категории атак:
📊 Threat Analysis
Анализ разведки угроз связал 144.91.109.68 с вредоносной активностью из Lauterbourg, France, работающий в сети Contabo GmbH. Адрес находится под наблюдением с момента первого обнаружения. За период в 19 дней этот IP сгенерировал 54 вредоносных запросов, в среднем ~2.8 запросов в день. Этот адрес принадлежит дата-центру или облачному хостингу. Хостинговые IP часто используются злоумышленниками, арендующими дешёвые VPS специально для проведения атак. Двойные векторы атак — Перебор путей в сочетании с Флуд запросами — указывают на координированную атаку, а не оппортунистическое сканирование. France в настоящее время составляет 190 заблокированных IP в нашей базе данных, что делает её значительным источником вредоносного трафика. С оценкой угрозы 195/100 этот IP входит в число наиболее опасных адресов в нашей базе. Настоятельно рекомендуется полная блокировка.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 HTTP Request Smuggling
Request smuggling exploits differences in how front-end and back-end servers parse HTTP requests. This technique can bypass security controls, poison web caches, and hijack other users sessions by desynchronizing request boundaries.
💡 Credential Stuffing at Scale
Credential stuffing uses stolen username-password pairs from data breaches to attempt logins across many websites. Since users frequently reuse passwords, these automated attacks achieve success rates of 0.1-2%, which translates to thousands of compromised accounts from millions of attempts.