Отчёт по IP-адресу
185.220.101.7
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Form spam: too_fast | Спам/вредоносные ключевые слова в запросе | +0 | |
| UA bot: Go-http-client | Обнаружен User-Agent известного бота/краулера | +40 | |
| Danger strong hits: 2 | Запросы к опасным путям: шеллы, RCE, эксплойты | +50 | |
| Danger medium hits: 1 | Запросы к админ-панелям, файлам конфигурации | +10 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 | |
| UA suspicious (short/empty) | Поведенческая аномалия обнаружена автоматически | +15 | |
| UA changed for same IP | Несколько User-Agent строк — ротация бота | +25 | |
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 185.220.101.7 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- В подсети /24 обнаружены другие вредоносные IP — рассмотрите блокировку 185.220.101.0/24
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
📧 Предотвращение спама
IP 185.220.101.7 заливает формы спамом. Внедрите токены с таймером и блокируйте IP, отправляющие более 5 форм в час.
🤖 Защита от аномалий User-Agent
IP 185.220.101.7 демонстрирует подозрительное поведение UA. Блокируйте запросы с пустым User-Agent. Внедрите JavaScript-проверки для обнаружения ботов.
🔎 Защита от сканирования каталогов
IP 185.220.101.7 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
Соседи в 185.220.101.0/24
Другие заблокированные IP из той же подсети /24 — признак систематического злоупотребления.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 9001 | Unknown | Low | Service on port 9001 |
| 9002 | Unknown | Low | Service on port 9002 |
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
185.220.101.7 получил оценку угрозы 125/100 (Критический). Это угроза критического уровня. Системным администраторам следует рассматривать этот IP как враждебный и блокировать все входящие соединения без исключений.
Обнаружены следующие категории атак:
📊 Threat Analysis
Анализ разведки угроз связал 185.220.101.7 с вредоносной активностью из Brandenburg, Germany, работающий в сети Stiftung Erneuerbare Freiheit. Адрес находится под наблюдением с момента первого обнаружения. В течение 20-дневного окна наблюдения мы зафиксировали 3 враждебных запросов с этого IP — примерно 0.2 в день в среднем. Этот жилой IP — вероятно, скомпрометированное пользовательское устройство. Домашние роутеры и IoT-оборудование с паролями по умолчанию — главные цели операторов ботнетов. Двойные векторы атак — Аномалия User-Agent в сочетании с Перебор путей — указывают на координированную атаку, а не оппортунистическое сканирование. Наши записи показывают 118 вредоносных IP, исходящих из Germany, что позиционирует её как значительным источник глобальной угрозы. При 125/100 это крайне высокорисковый адрес. Весь трафик следует считать враждебным.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 SQL Injection Campaigns
SQL injection remains one of the most common web attack vectors. Attackers inject malicious SQL code through input fields to extract database contents, modify data, or gain administrative access. Automated scanners test for SQLi vulnerabilities at massive scale.
💡 GraphQL Security Risks
GraphQL APIs introduce specific vulnerabilities including introspection information disclosure, query complexity attacks, batching abuse, and authorization bypass through nested queries. Depth limiting, cost analysis, and field-level authorization address these GraphQL-specific threats.