Отчёт по IP-адресу
20.122.187.158
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA suspicious (short/empty) | Поведенческая аномалия обнаружена автоматически | +15 | |
| Danger strong hits: 9 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 290 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 24 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 87 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 6 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Probe pattern 302->404 same path | Поведенческая аномалия обнаружена автоматически | +20 | |
| Burst: 25 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 89 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 12 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 252 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 86 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 91 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 88 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger medium hits: 286 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 26 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 92 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 18 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Burst: 82 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 79 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 24 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 378 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 90 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger medium hits: 429 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 85 req / 10s | Аномально высокая частота запросов — сканирование | +35 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 20.122.187.158 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 20.122.187.158: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🌊 Защита от флуда/DDoS
Внедрите limit_req_zone в nginx. Разверните CDN с защитой от DDoS. Настройте SYN cookies и отслеживание соединений для дросселирования 20.122.187.158.
🔎 Защита от перебора путей
Заблокируйте сканирование от 20.122.187.158: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
20.122.187.158 получил оценку угрозы 280/100 (Критический). Это критический уровень риска. Наши системы обнаружения зафиксировали множество высокодостоверных индикаторов вредоносных намерений с этого адреса.
Обнаружены следующие категории атак:
📊 Threat Analysis
Наша инфраструктура мониторинга идентифицировала 20.122.187.158, геолоцированный в Boydton, United States, работающий в сети Microsoft Corporation, как источник подозрительной сетевой активности. Наши сенсоры зафиксировали 16 вредоносных запросов с этого адреса за 1 дней, что отражает устойчивую интенсивность атак ~16 запросов в день. Классифицированный как хостинговый IP, этот адрес скорее всего работает на арендованном сервере или облачном инстансе. Атакующие предпочитают IP дата-центров за их высокую пропускную способность и одноразовость. Комбинация 3 различных векторов атак указывает на изощрённого, многовекторного агента угрозы, использующего автоматизированные инструменты для одновременного зондирования множества поверхностей атаки. С 102 отмеченными адресами United States представляет значительным присутствие в нашей базе угроз. Оценка 280/100 помещает этот адрес в высшую категорию серьёзности. Заблокируйте и проверьте исторические подключения.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 User-Agent Analysis Techniques
Analyzing User-Agent strings reveals automated tools masquerading as legitimate browsers. Inconsistencies between claimed browser capabilities and actual behavior, impossible version combinations, and known scanner signatures help identify malicious clients.
💡 Satellite Internet Security
Satellite internet introduces unique security challenges including high latency that affects real-time threat detection, shared bandwidth that enables traffic sniffing, and coverage areas that cross multiple jurisdictions complicating legal response.