Отчёт по IP-адресу
189.198.239.110
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger strong hits: 2 | Запросы к опасным путям: шеллы, RCE, эксплойты | +50 | |
| Danger medium hits: 1 | Запросы к админ-панелям, файлам конфигурации | +10 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| POST requests present | Поведенческая аномалия обнаружена автоматически | +8 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 189.198.239.110 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от перебора путей
Заблокируйте сканирование от 189.198.239.110: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 53 | DNS | Low | DNS server — potential for DNS amplification attacks |
| 70 | Unknown | Low | Service on port 70 |
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 2000 | Unknown | Low | Service on port 2000 |
| 3389 | RDP | High | Remote Desktop Protocol — primary target for ransomware attacks |
| 8000 | Unknown | Low | Service on port 8000 |
| 8993 | Unknown | Low | Service on port 8993 |
⚠️ Обнаружено 1 порт высокого риска на 189.198.239.110. Открытый RDP (3389) — основная точка входа для атак программ-вымогателей. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
| CVE ID | Link |
|---|---|
| CVE-2026-34032 | NVD → |
| CVE-2009-0796 | NVD → |
| CVE-2017-15710 | NVD → |
| CVE-2019-0217 | NVD → |
| CVE-2025-53020 | NVD → |
| CVE-2022-28615 | NVD → |
| CVE-2013-0942 | NVD → |
| CVE-2025-65082 | NVD → |
| CVE-2020-13938 | NVD → |
| CVE-2020-1927 | NVD → |
| CVE-2022-22720 | NVD → |
| CVE-2026-33523 | NVD → |
| CVE-2019-0211 | NVD → |
| CVE-2026-33007 | NVD → |
| CVE-2021-34798 | NVD → |
| CVE-2017-15715 | NVD → |
| CVE-2021-26691 | NVD → |
| CVE-2011-2688 | NVD → |
| CVE-2018-1283 | NVD → |
| CVE-2021-40438 | NVD → |
| CVE-2024-24795 | NVD → |
| CVE-2020-9490 | NVD → |
| CVE-2026-33006 | NVD → |
| CVE-2013-4365 | NVD → |
| CVE-2019-0196 | NVD → |
🔴 На этом хосте обнаружено 101 известных CVE, связанных с его открытыми сервисами. Такой объём указывает на крайне устаревшее ПО. Проверьте каждую CVE в базе NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
189.198.239.110 получил оценку угрозы 83/100 (Критический). Это помещает его в категорию критической угрозы. Рекомендуется немедленная блокировка на всех сетевых периметрах.
Обнаружены следующие категории атак:
📊 Threat Analysis
Сетевой трафик от 189.198.239.110, расположенного в Guaymas, Mexico, работающий в сети Mega Cable, S.A. de C.V., классифицирован как вредоносный нашей автоматической системой оценки угроз. Адрес был активен 1 дней в нашей системе мониторинга, произведя 4 подозрительных запросов со скоростью ~4/день. Это жилой IP-адрес, что указывает на скомпрометированное домашнее устройство — роутер, умное устройство или заражённую рабочую станцию, участвующую в ботнете. Обнаружено активное сканирование путей — этот IP зондирует сотни распространённых имён файлов и директорий. С 122 отмеченными адресами Mexico представляет значительным присутствие в нашей базе угроз. Оценка угрозы 83/100 помещает IP в категорию высокого риска. Рекомендуется блокировка на уровне файрвола.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 SQL Injection Campaigns
SQL injection remains one of the most common web attack vectors. Attackers inject malicious SQL code through input fields to extract database contents, modify data, or gain administrative access. Automated scanners test for SQLi vulnerabilities at massive scale.
💡 Responsible Disclosure Ethics
Responsible disclosure balances public safety with giving vendors time to patch vulnerabilities. The security community generally supports coordinated disclosure timelines, but disagreements about appropriate timeframes and full disclosure continue to drive policy debates.