Отчёт по IP-адресу
170.64.164.174
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger strong hits: 2 | Запросы к опасным путям: шеллы, RCE, эксплойты | +50 | |
| Danger strong hits: 6 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 4 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 170.64.164.174 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- В подсети /24 обнаружены другие вредоносные IP — рассмотрите блокировку 170.64.164.0/24
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
⚙️ Защитные рекомендации
Заблокируйте 170.64.164.174 на сетевом периметре. Внедрите эшелонированную защиту, комбинируя блокировку IP с защитой на уровне приложений.
Соседи в 170.64.164.0/24
Другие заблокированные IP из той же подсети /24 — признак систематического злоупотребления.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 22 | SSH | Low | Secure Shell — common brute force target for remote access |
| 25 | SMTP | Medium | SMTP mail server — can be abused for spam relay |
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 111 | Unknown | Low | Service on port 111 |
| 8080 | HTTP-Alt | Low | HTTP alternative port — often used for admin panels or proxies |
| CVE ID | Link |
|---|---|
| CVE-2023-48795 | NVD → |
| CVE-2026-35414 | NVD → |
| CVE-2007-2768 | NVD → |
| CVE-2023-38408 | NVD → |
| CVE-2008-3844 | NVD → |
| CVE-2025-26465 | NVD → |
| CVE-2023-51767 | NVD → |
| CVE-2023-51385 | NVD → |
| CVE-2021-36368 | NVD → |
| CVE-2021-41617 | NVD → |
| CVE-2016-20012 | NVD → |
| CVE-2020-15778 | NVD → |
| CVE-2020-14145 | NVD → |
| CVE-2019-16905 | NVD → |
| CVE-2025-32728 | NVD → |
🔴 Сканирование безопасности выявило 15 записей уязвимостей на этом хосте. Такой объём указывает на крайне устаревшее ПО. Сверьтесь с рекомендациями NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
170.64.164.174 получил оценку угрозы 100/100 (Критический). Это угроза критического уровня. Системным администраторам следует рассматривать этот IP как враждебный и блокировать все входящие соединения без исключений.
📊 Threat Analysis
Наша инфраструктура мониторинга идентифицировала 170.64.164.174, геолоцированный в Sydney, Australia, работающий в сети DigitalOcean, LLC, как источник подозрительной сетевой активности. За период в 1 дней этот IP сгенерировал 22 вредоносных запросов, в среднем ~22 запросов в день. IP классифицируется как хостинг/дата-центр, что часто ассоциируется с арендованными серверами для автоматизированных атак, управления ботнетами или массового сканирования уязвимостей. С 109 отмеченными адресами Australia представляет значительным присутствие в нашей базе угроз. С оценкой угрозы 100/100 этот IP входит в число наиболее опасных адресов в нашей базе. Настоятельно рекомендуется полная блокировка.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 XML External Entity (XXE) Attacks
XXE vulnerabilities in XML parsers allow attackers to read local files, perform SSRF, and execute denial of service attacks. Many legacy applications and APIs remain vulnerable to XXE due to insecure default XML parser configurations.
💡 IoT Device Compromise Patterns
Internet of Things devices are prime targets for botnet recruitment due to weak default credentials, infrequent updates, and always-on connectivity. Compromised IoT devices generate persistent scanning and attack traffic without their owners knowledge.