Отчёт по IP-адресу
217.217.112.189
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA changed for same IP | Несколько User-Agent строк — ротация бота | +25 | |
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 | |
| Burst: 6 req / 2s | Аномально высокая частота запросов — сканирование | +35 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 217.217.112.189 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- В подсети /24 обнаружены другие вредоносные IP — рассмотрите блокировку 217.217.112.0/24
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 217.217.112.189: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🔎 Защита от перебора путей
Заблокируйте сканирование от 217.217.112.189: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
🌊 Защита от флуда/DDoS
Внедрите limit_req_zone в nginx. Разверните CDN с защитой от DDoS. Настройте SYN cookies и отслеживание соединений для дросселирования 217.217.112.189.
Соседи в 217.217.112.0/24
Другие заблокированные IP из той же подсети /24 — признак систематического злоупотребления.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
217.217.112.189 получил оценку угрозы 85/100 (Критический). С такой оценкой IP попадает в критическую зону — в число наиболее опасных адресов в нашей базе мониторинга.
Обнаружены следующие категории атак:
📊 Threat Analysis
Адрес 217.217.112.189 происходит из Pittsburgh, United States, работающий в сети GSL Networks Pty LTD. Он был идентифицирован в ходе автоматического анализа входящего сетевого трафика на мониторируемых узлах. Адрес был активен 5 дней в нашей системе мониторинга, произведя 2 подозрительных запросов со скоростью ~0.4/день. Работая из жилой сети, этот IP может представлять скомпрометированный домашний шлюз или IoT-устройство, вовлечённое в крупную атакующую инфраструктуру. Комбинация 3 различных векторов атак указывает на изощрённого, многовекторного агента угрозы, использующего автоматизированные инструменты для одновременного зондирования множества поверхностей атаки. Наши записи показывают 113 вредоносных IP, исходящих из United States, что позиционирует её как значительным источник глобальной угрозы. При 85/100 этот IP требует немедленных защитных действий.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 User-Agent Analysis Techniques
Analyzing User-Agent strings reveals automated tools masquerading as legitimate browsers. Inconsistencies between claimed browser capabilities and actual behavior, impossible version combinations, and known scanner signatures help identify malicious clients.
💡 SSH Brute Force Defense
SSH servers face constant brute force attacks targeting common usernames and weak passwords. Key-based authentication, fail2ban, non-standard ports, and IP allowlisting dramatically reduce the attack surface. Monitoring auth logs reveals active campaigns and compromised credentials.