Отчёт по IP-адресу
2.26.252.212
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger medium hits: 9 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 59 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 200 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 | |
| Burst: 57 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 192 req / 10s | Аномально высокая частота запросов — сканирование | +35 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Рекомендации
Предпринятые и рекомендуемые меры
- IP 2.26.252.212 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- В подсети /24 обнаружены другие вредоносные IP — рассмотрите блокировку 2.26.252.0/24
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🌊 Защита от флуда/DDoS
Внедрите limit_req_zone в nginx. Разверните CDN с защитой от DDoS. Настройте SYN cookies и отслеживание соединений для дросселирования 2.26.252.212.
Соседи в 2.26.252.0/24
Другие заблокированные IP из той же подсети /24 — признак систематического злоупотребления.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
2.26.252.212 получил оценку угрозы 140/100 (Критический). Это критический уровень риска. Наши системы обнаружения зафиксировали множество высокодостоверных индикаторов вредоносных намерений с этого адреса.
Обнаружены следующие категории атак:
📊 Threat Analysis
Адрес 2.26.252.212 происходит из London, United Kingdom, работающий в сети Ace Data Centers II. Он был идентифицирован в ходе автоматического анализа входящего сетевого трафика на мониторируемых узлах. За период в 2 дней этот IP сгенерировал 3 вредоносных запросов, в среднем ~1.5 запросов в день. Этот адрес принадлежит дата-центру или облачному хостингу. Хостинговые IP часто используются злоумышленниками, арендующими дешёвые VPS специально для проведения атак. Атаки на основе частоты запросов с этого IP направлены на перегрузку серверных ресурсов путём массовой отправки запросов. Наши записи показывают 16 вредоносных IP, исходящих из United Kingdom, что позиционирует её как заметным источник глобальной угрозы. С оценкой угрозы 140/100 этот IP входит в число наиболее опасных адресов в нашей базе. Настоятельно рекомендуется полная блокировка.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
🇬🇧 Топ угроз из United Kingdom
31.76.244.120 (220)31.76.244.117 (220)2.26.252.199 (220)31.76.244.119 (220)31.76.244.116 (220)Смотреть все →Аналитика безопасности
💡 Directory Traversal Attacks
Path traversal attacks attempt to access files outside the intended directory by manipulating file path references. Attackers use sequences like ../ to reach sensitive system files such as /etc/passwd or application configuration files.
💡 Open Redirect Exploitation
Open redirect vulnerabilities allow attackers to redirect users from trusted domains to malicious sites. While often underestimated, these flaws enable convincing phishing, token theft through redirect-based OAuth flows, and SSRF chains.