Отчёт по IP-адресу
15.156.65.142
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger strong hits: 150 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 30 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 | |
| Burst: 24 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 87 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| POST requests present | Поведенческая аномалия обнаружена автоматически | +8 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 15.156.65.142 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от сканирования каталогов
IP 15.156.65.142 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
🌊 Защита от флуда трафика
IP 15.156.65.142 генерирует чрезмерный трафик. Ограничьте количество соединений с одного IP. Включите географическую блокировку если трафик из этого региона неожидан.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 5801 | Unknown | Low | Service on port 5801 |
| 8079 | Unknown | Low | Service on port 8079 |
| 9944 | Unknown | Low | Service on port 9944 |
| 21081 | Unknown | Low | Service on port 21081 |
| 55490 | Unknown | Low | Service on port 55490 |
| CVE ID | Link |
|---|---|
| CVE-2016-6294 | NVD → |
| CVE-2015-0232 | NVD → |
| CVE-2012-3526 | NVD → |
| CVE-2022-31629 | NVD → |
| CVE-2023-0286 | NVD → |
| CVE-2011-1939 | NVD → |
| CVE-2012-1171 | NVD → |
| CVE-2011-4885 | NVD → |
| CVE-2011-1092 | NVD → |
| CVE-2007-5899 | NVD → |
| CVE-2008-5498 | NVD → |
| CVE-2016-7129 | NVD → |
| CVE-2015-7804 | NVD → |
| CVE-2014-3487 | NVD → |
| CVE-2018-10549 | NVD → |
| CVE-2007-3799 | NVD → |
| CVE-2006-1494 | NVD → |
| CVE-2018-15132 | NVD → |
| CVE-2013-7456 | NVD → |
| CVE-2012-3365 | NVD → |
| CVE-2023-3817 | NVD → |
| CVE-2015-1351 | NVD → |
| CVE-2007-1583 | NVD → |
| CVE-2016-5772 | NVD → |
| CVE-2016-4540 | NVD → |
🔴 На этом хосте обнаружено 463 известных CVE, связанных с его открытыми сервисами. Такой объём указывает на крайне устаревшее ПО. Проверьте каждую CVE в базе NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
15.156.65.142 получил оценку угрозы 263/100 (Критический). С такой оценкой IP попадает в критическую зону — в число наиболее опасных адресов в нашей базе мониторинга.
Обнаружены следующие категории атак:
📊 Threat Analysis
Адрес 15.156.65.142 происходит из Toronto, Canada, работающий в сети Amazon.com, Inc.. Он был идентифицирован в ходе автоматического анализа входящего сетевого трафика на мониторируемых узлах. За период в 1 дней этот IP сгенерировал 1 вредоносных запросов, в среднем ~1 запросов в день. Классифицированный как хостинговый IP, этот адрес скорее всего работает на арендованном сервере или облачном инстансе. Атакующие предпочитают IP дата-центров за их высокую пропускную способность и одноразовость. Двойные векторы атак — Перебор путей в сочетании с Флуд запросами — указывают на координированную атаку, а не оппортунистическое сканирование. При 263/100 это крайне высокорисковый адрес. Весь трафик следует считать враждебным.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 Credential Stuffing at Scale
Credential stuffing uses stolen username-password pairs from data breaches to attempt logins across many websites. Since users frequently reuse passwords, these automated attacks achieve success rates of 0.1-2%, which translates to thousands of compromised accounts from millions of attempts.
💡 Mobile Malware Distribution
Mobile malware reaches devices through unofficial app stores, malicious links, and even occasionally through official stores using obfuscation techniques. Banking trojans, spyware, and ransomware variants specifically designed for mobile platforms continue to proliferate.