Отчёт по IP-адресу
159.89.207.41
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA bot: python | Обнаружен User-Agent известного бота/краулера | +40 | |
| UA changed for same IP | Несколько User-Agent строк — ротация бота | +25 | |
| Danger strong hits: 9 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 5 | Запросы к админ-панелям, файлам конфигурации | +50 | |
| Burst: 7 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 159.89.207.41 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 159.89.207.41: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🌊 Защита от флуда/DDoS
Внедрите limit_req_zone в nginx. Разверните CDN с защитой от DDoS. Настройте SYN cookies и отслеживание соединений для дросселирования 159.89.207.41.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 22 | SSH | Low | Secure Shell — common brute force target for remote access |
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 81 | Unknown | Low | Service on port 81 |
| 143 | IMAP | Low | Service on port 143 |
| 234 | Unknown | Low | Service on port 234 |
| 264 | Unknown | Low | Service on port 264 |
| 285 | Unknown | Low | Service on port 285 |
| 311 | Unknown | Low | Service on port 311 |
| 314 | Unknown | Low | Service on port 314 |
| 389 | Unknown | Low | Service on port 389 |
| 400 | Unknown | Low | Service on port 400 |
| 427 | Unknown | Low | Service on port 427 |
| 440 | Unknown | Low | Service on port 440 |
| 441 | Unknown | Low | Service on port 441 |
| 443 | HTTPS | Low | HTTPS web server — encrypted web traffic |
| 444 | Unknown | Low | Service on port 444 |
| 445 | SMB | Critical | SMB file sharing — high-risk for EternalBlue and ransomware |
| 447 | Unknown | Low | Service on port 447 |
| 449 | Unknown | Low | Service on port 449 |
| 451 | Unknown | Low | Service on port 451 |
| 452 | Unknown | Low | Service on port 452 |
| 465 | Unknown | Low | Service on port 465 |
| 480 | Unknown | Low | Service on port 480 |
| 502 | Unknown | Low | Service on port 502 |
| 503 | Unknown | Low | Service on port 503 |
| 513 | Unknown | Low | Service on port 513 |
| 515 | Unknown | Low | Service on port 515 |
| 541 | Unknown | Low | Service on port 541 |
| 548 | Unknown | Low | Service on port 548 |
| 554 | Unknown | Low | Service on port 554 |
| 556 | Unknown | Low | Service on port 556 |
| 587 | Unknown | Low | Service on port 587 |
| 591 | Unknown | Low | Service on port 591 |
| 593 | Unknown | Low | Service on port 593 |
| 631 | Unknown | Low | Service on port 631 |
| 636 | Unknown | Low | Service on port 636 |
| 646 | Unknown | Low | Service on port 646 |
| 666 | Unknown | Low | Service on port 666 |
| 685 | Unknown | Low | Service on port 685 |
| 771 | Unknown | Low | Service on port 771 |
| 772 | Unknown | Low | Service on port 772 |
| 777 | Unknown | Low | Service on port 777 |
| 785 | Unknown | Low | Service on port 785 |
| 789 | Unknown | Low | Service on port 789 |
| 806 | Unknown | Low | Service on port 806 |
| 830 | Unknown | Low | Service on port 830 |
| 833 | Unknown | Low | Service on port 833 |
| 843 | Unknown | Low | Service on port 843 |
| 873 | Unknown | Low | Service on port 873 |
| 880 | Unknown | Low | Service on port 880 |
| 886 | Unknown | Low | Service on port 886 |
| 887 | Unknown | Low | Service on port 887 |
| 902 | Unknown | Low | Service on port 902 |
| 953 | Unknown | Low | Service on port 953 |
| 990 | Unknown | Low | Service on port 990 |
| 992 | Unknown | Low | Service on port 992 |
| 993 | IMAPS | Low | Service on port 993 |
| 995 | POP3S | Low | Service on port 995 |
| 1013 | Unknown | Low | Service on port 1013 |
| 2222 | Unknown | Low | Service on port 2222 |
| 2223 | Unknown | Low | Service on port 2223 |
⚠️ Обнаружено 1 порт высокого риска на 159.89.207.41. Открытый SMB (445) связан с распространением червей и эксплойтами EternalBlue. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
| CVE ID | Link |
|---|---|
| CVE-2025-23419 | NVD → |
| CVE-2023-44487 | NVD → |
| CVE-2021-23017 | NVD → |
| CVE-2021-3618 | NVD → |
🔴 На этом хосте обнаружено 4 известных CVE, связанных с его открытыми сервисами. Множество уязвимостей указывает на пробелы в управлении обновлениями. Проверьте каждую CVE в базе NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
159.89.207.41 получил оценку угрозы 220/100 (Критический). Столь высокий балл характеризует критического агента угрозы. Этот адрес демонстрирует устойчивое агрессивное вредоносное поведение по множеству векторов обнаружения.
Обнаружены следующие категории атак:
📊 Threat Analysis
Сетевой трафик от 159.89.207.41, расположенного в Singapore, Singapore, работающий в сети DigitalOcean, LLC, классифицирован как вредоносный нашей автоматической системой оценки угроз. В течение 3-дневного окна наблюдения мы зафиксировали 3 враждебных запросов с этого IP — примерно 1 в день в среднем. Этот адрес принадлежит дата-центру или облачному хостингу. Хостинговые IP часто используются злоумышленниками, арендующими дешёвые VPS специально для проведения атак. Двойные векторы атак — Аномалия User-Agent в сочетании с Флуд запросами — указывают на координированную атаку, а не оппортунистическое сканирование. С 140 отмеченными адресами Singapore представляет значительным присутствие в нашей базе угроз. С оценкой угрозы 220/100 этот IP входит в число наиболее опасных адресов в нашей базе. Настоятельно рекомендуется полная блокировка.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 User-Agent Analysis Techniques
Analyzing User-Agent strings reveals automated tools masquerading as legitimate browsers. Inconsistencies between claimed browser capabilities and actual behavior, impossible version combinations, and known scanner signatures help identify malicious clients.
💡 HTTP Header Analysis for Threat Detection
Examining HTTP headers beyond User-Agent reveals attack tools and automated scripts. Missing standard headers, unusual ordering, non-standard values, and inconsistencies with claimed client identity all serve as reliable detection signals.