Отчёт по IP-адресу
20.240.44.185
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA suspicious (short/empty) | Поведенческая аномалия обнаружена автоматически | +15 | |
| Danger strong hits: 67 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 626 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 51 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 156 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 50 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 420 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Probe pattern 302->404 same path | Поведенческая аномалия обнаружена автоматически | +20 | |
| Burst: 44 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 148 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 34 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Burst: 39 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 132 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 46 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 147 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger medium hits: 630 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 45 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 154 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 150 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 100 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 840 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 102 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 200 req / 10s | Аномально высокая частота запросов — сканирование | +35 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 20.240.44.185 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 20.240.44.185: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🌊 Защита от флуда/DDoS
Внедрите limit_req_zone в nginx. Разверните CDN с защитой от DDoS. Настройте SYN cookies и отслеживание соединений для дросселирования 20.240.44.185.
🔎 Защита от сканирования каталогов
IP 20.240.44.185 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
20.240.44.185 получил оценку угрозы 280/100 (Критический). Это угроза критического уровня. Системным администраторам следует рассматривать этот IP как враждебный и блокировать все входящие соединения без исключений.
Обнаружены следующие категории атак:
📊 Threat Analysis
Наша инфраструктура мониторинга идентифицировала 20.240.44.185, геолоцированный в Gävle, Sweden, работающий в сети Microsoft Corporation, как источник подозрительной сетевой активности. За период в 1 дней этот IP сгенерировал 7 вредоносных запросов, в среднем ~7 запросов в день. Классифицированный как хостинговый IP, этот адрес скорее всего работает на арендованном сервере или облачном инстансе. Атакующие предпочитают IP дата-центров за их высокую пропускную способность и одноразовость. С 3 обнаруженными паттернами атак этот IP демонстрирует поведение, характерное для продвинутых автоматизированных фреймворков сканирования. С 102 отмеченными адресами Sweden представляет значительным присутствие в нашей базе угроз. Оценка 280/100 помещает этот адрес в высшую категорию серьёзности. Заблокируйте и проверьте исторические подключения.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 Submarine Cable and Internet Exchange Points
Internet traffic routing through a limited number of submarine cables and exchange points creates natural chokepoints. Understanding these routing patterns helps explain geographic clustering of certain attack types and latency-based scanning behaviors.
💡 User-Agent Analysis Techniques
Analyzing User-Agent strings reveals automated tools masquerading as legitimate browsers. Inconsistencies between claimed browser capabilities and actual behavior, impossible version combinations, and known scanner signatures help identify malicious clients.