Отчёт по IP-адресу
20.222.2.83
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 | |
| Burst 11/2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 12/2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 32/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 36/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 37/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 40/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst 41/10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger medium hits: 108 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger medium hits: 136 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger medium hits: 28 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger medium hits: 32 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger medium hits: 36 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger medium hits: 40 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger medium hits: 54 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger medium hits: 64 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger medium hits: 71 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Danger strong hits: 11 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 12 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 15 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 18 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 30 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 37 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 4 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 20.222.2.83 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от сканирования каталогов
IP 20.222.2.83 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
🌊 Защита от флуда/DDoS
Внедрите limit_req_zone в nginx. Разверните CDN с защитой от DDoS. Настройте SYN cookies и отслеживание соединений для дросселирования 20.222.2.83.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
20.222.2.83 получил оценку угрозы 255/100 (Критический). Столь высокий балл характеризует критического агента угрозы. Этот адрес демонстрирует устойчивое агрессивное вредоносное поведение по множеству векторов обнаружения.
Обнаружены следующие категории атак:
📊 Threat Analysis
Адрес 20.222.2.83 происходит из Tokyo, Japan, работающий в сети Microsoft Corporation. Он был идентифицирован в ходе автоматического анализа входящего сетевого трафика на мониторируемых узлах. За период в 1 дней этот IP сгенерировал 893 вредоносных запросов, в среднем ~893 запросов в день. Классифицированный как хостинговый IP, этот адрес скорее всего работает на арендованном сервере или облачном инстансе. Атакующие предпочитают IP дата-центров за их высокую пропускную способность и одноразовость. Двойные векторы атак — Перебор путей в сочетании с Флуд запросами — указывают на координированную атаку, а не оппортунистическое сканирование. С 101 отмеченными адресами Japan представляет значительным присутствие в нашей базе угроз. С оценкой угрозы 255/100 этот IP входит в число наиболее опасных адресов в нашей базе. Настоятельно рекомендуется полная блокировка.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 DDoS Mitigation Approaches
Distributed denial of service attacks overwhelm infrastructure with traffic volume. Effective mitigation combines always-on traffic scrubbing, anycast network distribution, rate limiting, and the ability to quickly scale absorption capacity during attacks.
💡 Network Flow Analysis
Analyzing network flows (NetFlow, sFlow, IPFIX) provides visibility into traffic patterns without inspecting packet contents. Flow data reveals scanning activity, data exfiltration, lateral movement, and command-and-control channels at scale.