Отчёт по IP-адресу
197.153.60.72
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger strong hits: 2 | Запросы к опасным путям: шеллы, RCE, эксплойты | +50 | |
| Danger medium hits: 1 | Запросы к админ-панелям, файлам конфигурации | +10 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Danger strong hits: 3 | Запросы к опасным путям: шеллы, RCE, эксплойты | +75 | |
| Danger medium hits: 2 | Запросы к админ-панелям, файлам конфигурации | +20 | |
| POST requests present | Поведенческая аномалия обнаружена автоматически | +8 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 197.153.60.72 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от сканирования каталогов
IP 197.153.60.72 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 25 | SMTP | Medium | SMTP mail server — can be abused for spam relay |
| 143 | IMAP | Low | Service on port 143 |
| 500 | Unknown | Low | Service on port 500 |
| 587 | Unknown | Low | Service on port 587 |
| 3389 | RDP | High | Remote Desktop Protocol — primary target for ransomware attacks |
| 9090 | Unknown | Low | Service on port 9090 |
⚠️ Сетевое сканирование выявило 1 опасных сервис на 197.153.60.72. Открытый RDP (3389) — основная точка входа для атак программ-вымогателей. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
| CVE ID | Link |
|---|---|
| CVE-2024-38476 | NVD → |
| CVE-2024-40898 | NVD → |
| CVE-2007-3205 | NVD → |
| CVE-2025-1861 | NVD → |
| CVE-2024-6119 | NVD → |
| CVE-2023-6129 | NVD → |
| CVE-2025-14178 | NVD → |
| CVE-2024-43204 | NVD → |
| CVE-2025-53020 | NVD → |
| CVE-2025-14180 | NVD → |
| CVE-2025-1217 | NVD → |
| CVE-2024-5458 | NVD → |
| CVE-2025-65082 | NVD → |
| CVE-2024-43394 | NVD → |
| CVE-2025-23048 | NVD → |
| CVE-2025-1220 | NVD → |
| CVE-2024-8932 | NVD → |
| CVE-2007-4723 | NVD → |
| CVE-2025-49630 | NVD → |
| CVE-2011-2688 | NVD → |
| CVE-2025-1734 | NVD → |
| CVE-2025-1736 | NVD → |
| CVE-2009-0796 | NVD → |
| CVE-2013-2765 | NVD → |
| CVE-2009-2299 | NVD → |
🔴 На этом хосте обнаружено 76 известных CVE, связанных с его открытыми сервисами. Такой объём указывает на крайне устаревшее ПО. Проверьте каждую CVE в базе NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
197.153.60.72 получил оценку угрозы 103/100 (Критический). Это критический уровень риска. Наши системы обнаружения зафиксировали множество высокодостоверных индикаторов вредоносных намерений с этого адреса.
Обнаружены следующие категории атак:
📊 Threat Analysis
197.153.60.72 зарегистрирован в Casablanca, MA, работающий в сети MEDITELECOM. Этот IP впервые появился в наших лентах угроз после срабатывания множества поведенческих сигнатур обнаружения. За период в 48 дней этот IP сгенерировал 2 вредоносных запросов, в среднем ~0 запросов в день. Работая из жилой сети, этот IP может представлять скомпрометированный домашний шлюз или IoT-устройство, вовлечённое в крупную атакующую инфраструктуру. Обнаружено активное сканирование путей — этот IP зондирует сотни распространённых имён файлов и директорий. MA в настоящее время составляет 111 заблокированных IP в нашей базе данных, что делает её значительным источником вредоносного трафика. Оценка 103/100 помещает этот адрес в высшую категорию серьёзности. Заблокируйте и проверьте исторические подключения.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 SQL Injection Campaigns
SQL injection remains one of the most common web attack vectors. Attackers inject malicious SQL code through input fields to extract database contents, modify data, or gain administrative access. Automated scanners test for SQLi vulnerabilities at massive scale.
💡 Network Telescope and Darknet Monitoring
Network telescopes monitor large blocks of unused IP address space. Since no legitimate traffic should reach these addresses, all observed traffic represents scanning, backscatter from spoofed attacks, or misconfiguration — providing pure signal for threat analysis.