Отчёт по IP-адресу
172.213.155.173
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA suspicious (short/empty) | Поведенческая аномалия обнаружена автоматически | +15 | |
| Danger strong hits: 9 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 352 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 29 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 85 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger medium hits: 238 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 38 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 127 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 107 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 41 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 130 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 12 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 357 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger strong hits: 18 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 476 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 77 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 200 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 39 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 115 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger medium hits: 236 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 36 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 106 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 2 | Запросы к опасным путям: шеллы, RCE, эксплойты | +50 | |
| Danger medium hits: 2 | Запросы к админ-панелям, файлам конфигурации | +20 | |
| Burst: 46 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 144 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 44 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 149 req / 10s | Аномально высокая частота запросов — сканирование | +35 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 172.213.155.173 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 172.213.155.173: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🌊 Защита от флуда/DDoS
Внедрите limit_req_zone в nginx. Разверните CDN с защитой от DDoS. Настройте SYN cookies и отслеживание соединений для дросселирования 172.213.155.173.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
172.213.155.173 получил оценку угрозы 245/100 (Критический). С такой оценкой IP попадает в критическую зону — в число наиболее опасных адресов в нашей базе мониторинга.
Обнаружены следующие категории атак:
📊 Threat Analysis
Наша инфраструктура мониторинга идентифицировала 172.213.155.173, геолоцированный в Milan, Italy, работающий в сети Microsoft Corporation, как источник подозрительной сетевой активности. Адрес был активен 1 дней в нашей системе мониторинга, произведя 11 подозрительных запросов со скоростью ~11/день. Классифицированный как хостинговый IP, этот адрес скорее всего работает на арендованном сервере или облачном инстансе. Атакующие предпочитают IP дата-центров за их высокую пропускную способность и одноразовость. Двойные векторы атак — Аномалия User-Agent в сочетании с Флуд запросами — указывают на координированную атаку, а не оппортунистическое сканирование. С 101 отмеченными адресами Italy представляет значительным присутствие в нашей базе угроз. Оценка 245/100 помещает этот адрес в высшую категорию серьёзности. Заблокируйте и проверьте исторические подключения.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 User-Agent Analysis Techniques
Analyzing User-Agent strings reveals automated tools masquerading as legitimate browsers. Inconsistencies between claimed browser capabilities and actual behavior, impossible version combinations, and known scanner signatures help identify malicious clients.
💡 Behavioral Analysis vs Signature Detection
Signature-based detection matches known attack patterns but misses novel threats. Behavioral analysis identifies anomalies in request patterns, timing, and volume, catching zero-day attacks that signatures cannot recognize.