Отчёт по IP-адресу
193.33.66.58
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA changed for same IP | Несколько User-Agent строк — ротация бота | +25 | |
| Danger medium hits: 8 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Probe pattern 302->404 same path | Поведенческая аномалия обнаружена автоматически | +20 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 | |
| Imported from old blocklist | Поведенческая аномалия обнаружена автоматически | +0 | |
| Danger medium hits: 4 | Запросы к админ-панелям, файлам конфигурации | +40 | |
| Danger medium hits: 10 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 193.33.66.58 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- В подсети /24 обнаружены другие вредоносные IP — рассмотрите блокировку 193.33.66.0/24
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Защита от аномалий User-Agent
IP 193.33.66.58 демонстрирует подозрительное поведение UA. Блокируйте запросы с пустым User-Agent. Внедрите JavaScript-проверки для обнаружения ботов.
🔎 Защита от сканирования каталогов
IP 193.33.66.58 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
Соседи в 193.33.66.0/24
Другие заблокированные IP из той же подсети /24 — признак систематического злоупотребления.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 3389 | RDP | High | Remote Desktop Protocol — primary target for ransomware attacks |
| 5432 | PostgreSQL | High | PostgreSQL database — direct database access risk |
| 5433 | Unknown | Low | Service on port 5433 |
| 6000 | Unknown | Low | Service on port 6000 |
| 6002 | Unknown | Low | Service on port 6002 |
| 6348 | Unknown | Low | Service on port 6348 |
| 6352 | Unknown | Low | Service on port 6352 |
| 6363 | Unknown | Low | Service on port 6363 |
| 6379 | Redis | Critical | Redis in-memory database — frequently misconfigured without auth |
| 6380 | Unknown | Low | Service on port 6380 |
| 6400 | Unknown | Low | Service on port 6400 |
| 6405 | Unknown | Low | Service on port 6405 |
| 6432 | Unknown | Low | Service on port 6432 |
| 6433 | Unknown | Low | Service on port 6433 |
| 6440 | Unknown | Low | Service on port 6440 |
| 6443 | Unknown | Low | Service on port 6443 |
| 6887 | Unknown | Low | Service on port 6887 |
| 6955 | Unknown | Low | Service on port 6955 |
| 7001 | Unknown | Low | Service on port 7001 |
| 7002 | Unknown | Low | Service on port 7002 |
| 7003 | Unknown | Low | Service on port 7003 |
| 7004 | Unknown | Low | Service on port 7004 |
| 7005 | Unknown | Low | Service on port 7005 |
| 7010 | Unknown | Low | Service on port 7010 |
| 7014 | Unknown | Low | Service on port 7014 |
| 7018 | Unknown | Low | Service on port 7018 |
| 7020 | Unknown | Low | Service on port 7020 |
| 7021 | Unknown | Low | Service on port 7021 |
| 7022 | Unknown | Low | Service on port 7022 |
| 7057 | Unknown | Low | Service on port 7057 |
| 7070 | Unknown | Low | Service on port 7070 |
| 7071 | Unknown | Low | Service on port 7071 |
| 7078 | Unknown | Low | Service on port 7078 |
| 7079 | Unknown | Low | Service on port 7079 |
| 7082 | Unknown | Low | Service on port 7082 |
| 7083 | Unknown | Low | Service on port 7083 |
| 7084 | Unknown | Low | Service on port 7084 |
| 7085 | Unknown | Low | Service on port 7085 |
| 7087 | Unknown | Low | Service on port 7087 |
| 7090 | Unknown | Low | Service on port 7090 |
| 7100 | Unknown | Low | Service on port 7100 |
| 7105 | Unknown | Low | Service on port 7105 |
| 7171 | Unknown | Low | Service on port 7171 |
| 7173 | Unknown | Low | Service on port 7173 |
| 7218 | Unknown | Low | Service on port 7218 |
| 8502 | Unknown | Low | Service on port 8502 |
⚠️ Сетевое сканирование выявило 3 опасных сервисов на 193.33.66.58. Открытый RDP (3389) — основная точка входа для атак программ-вымогателей. Открытые порты баз данных указывают на возможный риск утечки данных. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
193.33.66.58 получил оценку угрозы 115/100 (Критический). Это критический уровень риска. Наши системы обнаружения зафиксировали множество высокодостоверных индикаторов вредоносных намерений с этого адреса.
Обнаружены следующие категории атак:
📊 Threat Analysis
Анализ разведки угроз связал 193.33.66.58 с вредоносной активностью из Waubay, United States, работающий в сети PureVoltage Hosting Inc.. Адрес находится под наблюдением с момента первого обнаружения. За период в 27 дней этот IP сгенерировал 7 вредоносных запросов, в среднем ~0.3 запросов в день. Классифицированный как хостинговый IP, этот адрес скорее всего работает на арендованном сервере или облачном инстансе. Атакующие предпочитают IP дата-центров за их высокую пропускную способность и одноразовость. Двойные векторы атак — Аномалия User-Agent в сочетании с Перебор путей — указывают на координированную атаку, а не оппортунистическое сканирование. С 198 отмеченными адресами United States представляет значительным присутствие в нашей базе угроз. С оценкой угрозы 115/100 этот IP входит в число наиболее опасных адресов в нашей базе. Настоятельно рекомендуется полная блокировка.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 User-Agent Analysis Techniques
Analyzing User-Agent strings reveals automated tools masquerading as legitimate browsers. Inconsistencies between claimed browser capabilities and actual behavior, impossible version combinations, and known scanner signatures help identify malicious clients.
💡 SSH Brute Force Defense
SSH servers face constant brute force attacks targeting common usernames and weak passwords. Key-based authentication, fail2ban, non-standard ports, and IP allowlisting dramatically reduce the attack surface. Monitoring auth logs reveals active campaigns and compromised credentials.