Отчёт по IP-адресу
173.232.125.209
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger medium hits: 4 | Запросы к админ-панелям, файлам конфигурации | +40 | |
| Probe pattern 302->404 same path | Поведенческая аномалия обнаружена автоматически | +20 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 173.232.125.209 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от перебора путей
Заблокируйте сканирование от 173.232.125.209: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 3128 | Unknown | Low | Service on port 3128 |
| 8000 | Unknown | Low | Service on port 8000 |
| 8800 | Unknown | Low | Service on port 8800 |
| 52931 | Unknown | Low | Service on port 52931 |
| CVE ID | Link |
|---|---|
| CVE-2019-12521 | NVD → |
| CVE-2023-49285 | NVD → |
| CVE-2021-28116 | NVD → |
| CVE-2020-8517 | NVD → |
| CVE-2026-32748 | NVD → |
| CVE-2021-33620 | NVD → |
| CVE-2019-18679 | NVD → |
| CVE-2019-12519 | NVD → |
| CVE-2026-33526 | NVD → |
| CVE-2025-59362 | NVD → |
| CVE-2019-18860 | NVD → |
| CVE-2021-46784 | NVD → |
| CVE-2019-12523 | NVD → |
| CVE-2020-14058 | NVD → |
| CVE-2019-12526 | NVD → |
| CVE-2019-18678 | NVD → |
| CVE-2021-28652 | NVD → |
| CVE-2016-10002 | NVD → |
| CVE-2018-19131 | NVD → |
| CVE-2016-2390 | NVD → |
| CVE-2016-3947 | NVD → |
| CVE-2018-19132 | NVD → |
| CVE-2022-41318 | NVD → |
| CVE-2020-15049 | NVD → |
| CVE-2021-31808 | NVD → |
🔴 Сканирование безопасности выявило 59 записей уязвимостей на этом хосте. Такой объём указывает на крайне устаревшее ПО. Сверьтесь с рекомендациями NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
173.232.125.209 получил оценку угрозы 70/100 (Высокий). При таком уровне угрозы IP считается высокорисковым. Правила файрвола должны быть обновлены для блокировки трафика с этого источника.
Обнаружены следующие категории атак:
📊 Threat Analysis
Наша инфраструктура мониторинга идентифицировала 173.232.125.209, геолоцированный в Dallas, United States, работающий в сети Eonix Corporation, как источник подозрительной сетевой активности. Адрес был активен 1 дней в нашей системе мониторинга, произведя 1 подозрительных запросов со скоростью ~1/день. Адрес классифицирован как жилой (residential), что означает принадлежность к пользовательскому ISP-подключению. Вредоносная активность с жилых IP обычно указывает на компрометацию устройства или участие в ботнете. Обнаружено активное сканирование путей — этот IP зондирует сотни распространённых имён файлов и директорий. Наши записи показывают 133 вредоносных IP, исходящих из United States, что позиционирует её как значительным источник глобальной угрозы. Оценка угрозы 70/100 помещает IP в категорию высокого риска. Рекомендуется блокировка на уровне файрвола.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 HTTP Request Smuggling
Request smuggling exploits differences in how front-end and back-end servers parse HTTP requests. This technique can bypass security controls, poison web caches, and hijack other users sessions by desynchronizing request boundaries.
💡 Security Header Best Practices
HTTP security headers provide defense-in-depth with minimal implementation effort. Key headers include Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, and Permissions-Policy, each addressing specific attack vectors.