Отчёт по IP-адресу
152.89.128.174
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger medium hits: 6 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 152.89.128.174 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- В подсети /24 обнаружены другие вредоносные IP — рассмотрите блокировку 152.89.128.0/24
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от сканирования каталогов
IP 152.89.128.174 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
Соседи в 152.89.128.0/24
Другие заблокированные IP из той же подсети /24 — признак систематического злоупотребления.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 3128 | Unknown | Low | Service on port 3128 |
| 8080 | HTTP-Alt | Low | HTTP alternative port — often used for admin panels or proxies |
| 52951 | Unknown | Low | Service on port 52951 |
| CVE ID | Link |
|---|---|
| CVE-2019-18860 | NVD → |
| CVE-2025-59362 | NVD → |
| CVE-2023-46728 | NVD → |
| CVE-2019-12524 | NVD → |
| CVE-2024-45802 | NVD → |
| CVE-2022-41318 | NVD → |
| CVE-2020-8517 | NVD → |
| CVE-2021-31807 | NVD → |
| CVE-2020-25097 | NVD → |
| CVE-2020-14058 | NVD → |
| CVE-2020-15049 | NVD → |
| CVE-2025-62168 | NVD → |
| CVE-2019-12520 | NVD → |
| CVE-2019-18677 | NVD → |
| CVE-2019-18679 | NVD → |
| CVE-2021-31808 | NVD → |
| CVE-2023-49286 | NVD → |
| CVE-2021-28652 | NVD → |
| CVE-2020-8449 | NVD → |
| CVE-2018-1000024 | NVD → |
| CVE-2016-3947 | NVD → |
| CVE-2023-49285 | NVD → |
| CVE-2018-19131 | NVD → |
| CVE-2015-5400 | NVD → |
| CVE-2019-12522 | NVD → |
🔴 Сканирование безопасности выявило 57 записей уязвимостей на этом хосте. Такой объём указывает на крайне устаревшее ПО. Сверьтесь с рекомендациями NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
152.89.128.174 получил оценку угрозы 85/100 (Критический). Это критический уровень риска. Наши системы обнаружения зафиксировали множество высокодостоверных индикаторов вредоносных намерений с этого адреса.
Обнаружены следующие категории атак:
📊 Threat Analysis
Анализ разведки угроз связал 152.89.128.174 с вредоносной активностью из London, United Kingdom, работающий в сети XT GLOBAL NETWORKS LTD.. Адрес находится под наблюдением с момента первого обнаружения. В течение 1-дневного окна наблюдения мы зафиксировали 1 враждебных запросов с этого IP — примерно 1 в день в среднем. Адрес классифицирован как жилой (residential), что означает принадлежность к пользовательскому ISP-подключению. Вредоносная активность с жилых IP обычно указывает на компрометацию устройства или участие в ботнете. IP демонстрирует поведение перебора директорий, систематически запрашивая несуществующие пути для обнаружения скрытых файлов и неправильно настроенных ресурсов. С 30 отмеченными адресами United Kingdom представляет заметным присутствие в нашей базе угроз. Оценка угрозы 85/100 помещает IP в категорию высокого риска. Рекомендуется блокировка на уровне файрвола.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 XML External Entity (XXE) Attacks
XXE vulnerabilities in XML parsers allow attackers to read local files, perform SSRF, and execute denial of service attacks. Many legacy applications and APIs remain vulnerable to XXE due to insecure default XML parser configurations.
💡 DNS Amplification Attack Mechanics
DNS amplification exploits open resolvers to reflect and amplify traffic toward victims. A small query triggers a large response directed at the spoofed source IP, achieving amplification factors of 50x or more, overwhelming target bandwidth.