Отчёт по IP-адресу
222.80.214.7
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Danger strong hits: 1 | Запросы к опасным путям: шеллы, RCE, эксплойты | +25 | |
| Danger strong hits: 10 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 14 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 18 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 19 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 21 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 25 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 26 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 3 | Запросы к опасным путям: шеллы, RCE, эксплойты | +75 | |
| Danger strong hits: 4 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 5 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 6 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 8 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger strong hits: 9 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Probe 302→404 | Поведенческая аномалия обнаружена автоматически | +20 | |
| Probe pattern 302->404 same path | Поведенческая аномалия обнаружена автоматически | +20 | |
| UA bot: python | Обнаружен User-Agent известного бота/краулера | +40 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 222.80.214.7 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от перебора путей
Заблокируйте сканирование от 222.80.214.7: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
🤖 Защита от аномалий User-Agent
IP 222.80.214.7 демонстрирует подозрительное поведение UA. Блокируйте запросы с пустым User-Agent. Внедрите JavaScript-проверки для обнаружения ботов.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
222.80.214.7 получил оценку угрозы 175/100 (Критический). Это помещает его в категорию критической угрозы. Рекомендуется немедленная блокировка на всех сетевых периметрах.
Обнаружены следующие категории атак:
📊 Threat Analysis
Сетевой трафик от 222.80.214.7, расположенного в Xingfulu, China, работающий в сети Chinanet, классифицирован как вредоносный нашей автоматической системой оценки угроз. Наши сенсоры зафиксировали 1,419 вредоносных запросов с этого адреса за 38 дней, что отражает устойчивую интенсивность атак ~37.3 запросов в день. Адрес классифицирован как жилой (residential), что означает принадлежность к пользовательскому ISP-подключению. Вредоносная активность с жилых IP обычно указывает на компрометацию устройства или участие в ботнете. Двойные векторы атак — Перебор путей в сочетании с Аномалия User-Agent — указывают на координированную атаку, а не оппортунистическое сканирование. С 194 отмеченными адресами China представляет значительным присутствие в нашей базе угроз. Оценка 175/100 помещает этот адрес в высшую категорию серьёзности. Заблокируйте и проверьте исторические подключения.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 Command Injection Techniques
Command injection occurs when attackers insert operating system commands through application inputs. Successful exploitation grants direct server access, enabling data theft, malware installation, and lateral movement across networks.
💡 Automated Incident Response
Automated response systems can block threats in milliseconds, far faster than human analysts. However, automation requires careful safeguards — rate limits on blocking actions, automatic expiration, and human review queues prevent automated systems from causing self-inflicted outages.