Отчёт по IP-адресу
23.94.155.92
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA suspicious (short/empty) | Поведенческая аномалия обнаружена автоматически | +15 | |
| Danger strong hits: 2 | Запросы к опасным путям: шеллы, RCE, эксплойты | +50 | |
| Danger medium hits: 1 | Запросы к админ-панелям, файлам конфигурации | +10 | |
| Danger strong hits: 1 | Запросы к опасным путям: шеллы, RCE, эксплойты | +25 | |
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 23.94.155.92 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- В подсети /24 обнаружены другие вредоносные IP — рассмотрите блокировку 23.94.155.0/24
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 23.94.155.92: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🔎 Защита от перебора путей
Заблокируйте сканирование от 23.94.155.92: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
Соседи в 23.94.155.0/24
Другие заблокированные IP из той же подсети /24 — признак систематического злоупотребления.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
23.94.155.92 получил оценку угрозы 90/100 (Критический). Столь высокий балл характеризует критического агента угрозы. Этот адрес демонстрирует устойчивое агрессивное вредоносное поведение по множеству векторов обнаружения.
Обнаружены следующие категории атак:
📊 Threat Analysis
Анализ разведки угроз связал 23.94.155.92 с вредоносной активностью из Miami, United States, работающий в сети Internet Utilities NA LLC. Адрес находится под наблюдением с момента первого обнаружения. Адрес был активен 9 дней в нашей системе мониторинга, произведя 6 подозрительных запросов со скоростью ~0.7/день. Это жилой IP-адрес, что указывает на скомпрометированное домашнее устройство — роутер, умное устройство или заражённую рабочую станцию, участвующую в ботнете. Обнаружены два паттерна атак (Аномалия User-Agent и Перебор путей), что указывает на полуавтоматическую кампанию, нацеленную на несколько уязвимостей. С 221 отмеченными адресами United States представляет значительным присутствие в нашей базе угроз. С оценкой угрозы 90/100 этот IP входит в число наиболее опасных адресов в нашей базе. Настоятельно рекомендуется полная блокировка.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 User-Agent Analysis Techniques
Analyzing User-Agent strings reveals automated tools masquerading as legitimate browsers. Inconsistencies between claimed browser capabilities and actual behavior, impossible version combinations, and known scanner signatures help identify malicious clients.
💡 Automated Incident Response
Automated response systems can block threats in milliseconds, far faster than human analysts. However, automation requires careful safeguards — rate limits on blocking actions, automatic expiration, and human review queues prevent automated systems from causing self-inflicted outages.