Отчёт по IP-адресу
24.220.96.10
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger strong hits: 3 | Запросы к опасным путям: шеллы, RCE, эксплойты | +75 | |
| Danger medium hits: 2 | Запросы к админ-панелям, файлам конфигурации | +20 | |
| POST requests present | Поведенческая аномалия обнаружена автоматически | +8 | |
| Danger strong hits: 1 | Запросы к опасным путям: шеллы, RCE, эксплойты | +25 | |
| Danger medium hits: 1 | Запросы к админ-панелям, файлам конфигурации | +10 | |
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 24.220.96.10 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от сканирования каталогов
IP 24.220.96.10 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 7547 | Unknown | Low | Service on port 7547 |
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
24.220.96.10 получил оценку угрозы 103/100 (Критический). Это угроза критического уровня. Системным администраторам следует рассматривать этот IP как враждебный и блокировать все входящие соединения без исключений.
Обнаружены следующие категории атак:
📊 Threat Analysis
Сетевой трафик от 24.220.96.10, расположенного в Grand Forks, United States, работающий в сети Midcontinent Communications, классифицирован как вредоносный нашей автоматической системой оценки угроз. За период в 56 дней этот IP сгенерировал 4 вредоносных запросов, в среднем ~0.1 запросов в день. Это жилой IP-адрес, что указывает на скомпрометированное домашнее устройство — роутер, умное устройство или заражённую рабочую станцию, участвующую в ботнете. IP демонстрирует поведение перебора директорий, систематически запрашивая несуществующие пути для обнаружения скрытых файлов и неправильно настроенных ресурсов. С 102 отмеченными адресами United States представляет значительным присутствие в нашей базе угроз. Оценка 103/100 помещает этот адрес в высшую категорию серьёзности. Заблокируйте и проверьте исторические подключения.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
🇺🇸 Топ угроз из United States
104.28.246.115 (350)104.28.246.113 (340)104.28.246.116 (340)104.28.235.58 (340)104.28.246.122 (340)Смотреть все →Аналитика безопасности
💡 HTTP Request Smuggling
Request smuggling exploits differences in how front-end and back-end servers parse HTTP requests. This technique can bypass security controls, poison web caches, and hijack other users sessions by desynchronizing request boundaries.
💡 CORS Misconfiguration Exploitation
Cross-Origin Resource Sharing misconfigurations can expose sensitive APIs to unauthorized origins. Wildcard policies, reflected origins, and null origin allowlisting create vulnerabilities that attackers exploit for data theft and unauthorized actions.