Отчёт по IP-адресу
185.220.100.244
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Foreign referer | Referer с постороннего внешнего домена | +10 | |
| Form spam: no_js_check | Спам/вредоносные ключевые слова в запросе | +0 | |
| Form spam: too_fast | Спам/вредоносные ключевые слова в запросе | +0 | |
| POST seen | Поведенческая аномалия обнаружена автоматически | +8 | |
| UA suspicious | Поведенческая аномалия обнаружена автоматически | +15 | |
| spam:latin_name | Спам/вредоносные ключевые слова в запросе | +0 | |
| spam:too_fast | Спам/вредоносные ключевые слова в запросе | +0 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 185.220.100.244 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- В подсети /24 обнаружены другие вредоносные IP — рассмотрите блокировку 185.220.100.0/24
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
📧 Предотвращение спама
IP 185.220.100.244 заливает формы спамом. Внедрите токены с таймером и блокируйте IP, отправляющие более 5 форм в час.
🤖 Защита от аномалий User-Agent
IP 185.220.100.244 демонстрирует подозрительное поведение UA. Блокируйте запросы с пустым User-Agent. Внедрите JavaScript-проверки для обнаружения ботов.
Соседи в 185.220.100.0/24
Другие заблокированные IP из той же подсети /24 — признак систематического злоупотребления.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 22 | SSH | Low | Secure Shell — common brute force target for remote access |
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 9000 | Unknown | Low | Service on port 9000 |
| 9001 | Unknown | Low | Service on port 9001 |
| 9200 | Elasticsearch | High | Elasticsearch — can leak sensitive data if unauthenticated |
⚠️ Сетевое сканирование выявило 1 опасных сервис на 185.220.100.244. Открытые порты баз данных указывают на возможный риск утечки данных. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
185.220.100.244 получил оценку угрозы 100/100 (Критический). С такой оценкой IP попадает в критическую зону — в число наиболее опасных адресов в нашей базе мониторинга.
Обнаружены следующие категории атак:
📊 Threat Analysis
Анализ разведки угроз связал 185.220.100.244 с вредоносной активностью из Haßfurt, Germany, работающий в сети F3 Netze e.V.. Адрес находится под наблюдением с момента первого обнаружения. За период в 60 дней этот IP сгенерировал 307 вредоносных запросов, в среднем ~5.1 запросов в день. Это жилой IP-адрес, что указывает на скомпрометированное домашнее устройство — роутер, умное устройство или заражённую рабочую станцию, участвующую в ботнете. Обнаружены подозрительные аномалии User-Agent, включая пустые, поддельные или быстро сменяющиеся UA-строки — характерные для автоматических инструментов сканирования. Наши записи показывают 104 вредоносных IP, исходящих из Germany, что позиционирует её как значительным источник глобальной угрозы. С оценкой угрозы 100/100 этот IP входит в число наиболее опасных адресов в нашей базе. Настоятельно рекомендуется полная блокировка.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 SQL Injection Campaigns
SQL injection remains one of the most common web attack vectors. Attackers inject malicious SQL code through input fields to extract database contents, modify data, or gain administrative access. Automated scanners test for SQLi vulnerabilities at massive scale.
💡 HTTP/2 and HTTP/3 Security Implications
Modern HTTP protocols introduce new attack surfaces including stream multiplexing abuse, header compression attacks (HPACK bombing), and rapid reset attacks. Security tools must evolve to handle these protocol-specific threats effectively.