Отчёт по IP-адресу
185.198.240.160
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA changed for same IP | Несколько User-Agent строк — ротация бота | +25 | |
| Danger strong hits: 24 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Burst: 20 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 44 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| UA suspicious (short/empty) | Поведенческая аномалия обнаружена автоматически | +15 | |
| Danger strong hits: 1 | Запросы к опасным путям: шеллы, RCE, эксплойты | +25 | |
| Danger medium hits: 1 | Запросы к админ-панелям, файлам конфигурации | +10 | |
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 185.198.240.160 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- В подсети /24 обнаружены другие вредоносные IP — рассмотрите блокировку 185.198.240.0/24
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 185.198.240.160: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🌊 Защита от флуда/DDoS
Внедрите limit_req_zone в nginx. Разверните CDN с защитой от DDoS. Настройте SYN cookies и отслеживание соединений для дросселирования 185.198.240.160.
🔎 Защита от сканирования каталогов
IP 185.198.240.160 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
Соседи в 185.198.240.0/24
Другие заблокированные IP из той же подсети /24 — признак систематического злоупотребления.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
185.198.240.160 получил оценку угрозы 195/100 (Критический). Это помещает его в категорию критической угрозы. Рекомендуется немедленная блокировка на всех сетевых периметрах.
Обнаружены следующие категории атак:
📊 Threat Analysis
Анализ разведки угроз связал 185.198.240.160 с вредоносной активностью из Trenton, United States, работающий в сети Clouvider Limited. Адрес находится под наблюдением с момента первого обнаружения. За период в 27 дней этот IP сгенерировал 3 вредоносных запросов, в среднем ~0.1 запросов в день. Этот IP идентифицирован как VPN или прокси-точка, обычно используемая для маскировки истинного источника атакующего трафика и обхода географической или репутационной блокировки. С 3 обнаруженными паттернами атак этот IP демонстрирует поведение, характерное для продвинутых автоматизированных фреймворков сканирования. Наши записи показывают 217 вредоносных IP, исходящих из United States, что позиционирует её как значительным источник глобальной угрозы. При 195/100 это крайне высокорисковый адрес. Весь трафик следует считать враждебным.
Этот IP связан с VPN или прокси-сервисом. Атакующие часто маршрутизируют трафик через анонимайзеры для скрытия реального местоположения.
Связанные угрозы
Аналитика безопасности
💡 TLS Fingerprinting (JA3/JA4)
TLS fingerprinting creates unique identifiers based on how clients negotiate encrypted connections. The JA3 and JA4 methods generate hashes from TLS ClientHello parameters, enabling identification of specific tools and malware regardless of IP address changes.
💡 WordPress-Specific Attack Vectors
WordPress sites face constant automated attacks targeting xmlrpc.php for brute force amplification, wp-login.php for credential theft, and vulnerable plugins for remote code execution. Over 90% of CMS-based attacks specifically target WordPress installations.