Отчёт по IP-адресу
221.120.239.153
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger strong hits: 3 | Запросы к опасным путям: шеллы, RCE, эксплойты | +75 | |
| Danger medium hits: 2 | Запросы к админ-панелям, файлам конфигурации | +20 | |
| POST requests present | Поведенческая аномалия обнаружена автоматически | +8 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 221.120.239.153 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
⚙️ Общая безопасность
Добавьте 221.120.239.153 в чёрный список файрвола. Проверьте логи на успешные подключения. Включите полное логирование на всех публичных сервисах.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 85 | Unknown | Low | Service on port 85 |
| 161 | Unknown | Low | Service on port 161 |
| 801 | Unknown | Low | Service on port 801 |
| 2000 | Unknown | Low | Service on port 2000 |
| CVE ID | Link |
|---|---|
| CVE-2013-0942 | NVD → |
| CVE-2024-38477 | NVD → |
| CVE-2022-23943 | NVD → |
| CVE-2019-17567 | NVD → |
| CVE-2011-1176 | NVD → |
| CVE-2024-47252 | NVD → |
| CVE-2019-10092 | NVD → |
| CVE-2022-29404 | NVD → |
| CVE-2019-10081 | NVD → |
| CVE-2018-1333 | NVD → |
| CVE-2018-1283 | NVD → |
| CVE-2024-38472 | NVD → |
| CVE-2024-39573 | NVD → |
| CVE-2019-0211 | NVD → |
| CVE-2023-25690 | NVD → |
| CVE-2017-15715 | NVD → |
| CVE-2022-22719 | NVD → |
| CVE-2019-9517 | NVD → |
| CVE-2012-4360 | NVD → |
| CVE-2022-31813 | NVD → |
| CVE-2020-13938 | NVD → |
| CVE-2009-0796 | NVD → |
| CVE-2021-32792 | NVD → |
| CVE-2018-1302 | NVD → |
| CVE-2025-53020 | NVD → |
🔴 Сканирование безопасности выявило 90 записей уязвимостей на этом хосте. Такой объём указывает на крайне устаревшее ПО. Сверьтесь с рекомендациями NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
221.120.239.153 получил оценку угрозы 103/100 (Критический). Это помещает его в категорию критической угрозы. Рекомендуется немедленная блокировка на всех сетевых периметрах.
📊 Threat Analysis
Наша инфраструктура мониторинга идентифицировала 221.120.239.153, геолоцированный в Mandi Bahauddin, Pakistan, работающий в сети PTCL ITI Islamabad 16, как источник подозрительной сетевой активности. Наши сенсоры зафиксировали 1 вредоносных запросов с этого адреса за 1 дней, что отражает устойчивую интенсивность атак ~1 запросов в день. Адрес классифицирован как жилой (residential), что означает принадлежность к пользовательскому ISP-подключению. Вредоносная активность с жилых IP обычно указывает на компрометацию устройства или участие в ботнете. Pakistan в настоящее время составляет 121 заблокированных IP в нашей базе данных, что делает её значительным источником вредоносного трафика. При 103/100 это крайне высокорисковый адрес. Весь трафик следует считать враждебным.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 Directory Traversal Attacks
Path traversal attacks attempt to access files outside the intended directory by manipulating file path references. Attackers use sequences like ../ to reach sensitive system files such as /etc/passwd or application configuration files.
💡 File Upload Vulnerabilities
Insecure file upload functionality allows attackers to upload web shells, malware, or scripts that execute on the server. Proper validation must check file content, not just extensions, and uploaded files should be stored outside the web root.