Отчёт по IP-адресу
31.129.47.28
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA bot: curl | Обнаружен User-Agent известного бота/краулера | +40 | |
| Danger medium hits: 1 | Запросы к админ-панелям, файлам конфигурации | +10 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 31.129.47.28 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 31.129.47.28: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🔎 Защита от сканирования каталогов
IP 31.129.47.28 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 22 | SSH | Low | Secure Shell — common brute force target for remote access |
| 465 | Unknown | Low | Service on port 465 |
| 2222 | Unknown | Low | Service on port 2222 |
| 3001 | Unknown | Low | Service on port 3001 |
| 3306 | MySQL | High | MySQL database — should never be exposed to the internet |
| 8080 | HTTP-Alt | Low | HTTP alternative port — often used for admin panels or proxies |
| 8443 | HTTPS-Alt | Low | Service on port 8443 |
⚠️ Сетевое сканирование выявило 1 опасных сервис на 31.129.47.28. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
| CVE ID | Link |
|---|---|
| CVE-2025-50084 | NVD → |
| CVE-2025-50094 | NVD → |
| CVE-2025-67896 | NVD → |
| CVE-2022-3559 | NVD → |
| CVE-2025-30232 | NVD → |
| CVE-2025-50092 | NVD → |
| CVE-2025-50078 | NVD → |
| CVE-2025-50087 | NVD → |
| CVE-2023-42115 | NVD → |
| CVE-2023-42119 | NVD → |
| CVE-2025-50098 | NVD → |
| CVE-2025-50097 | NVD → |
| CVE-2025-50077 | NVD → |
| CVE-2025-50091 | NVD → |
| CVE-2025-50093 | NVD → |
| CVE-2025-50076 | NVD → |
| CVE-2025-50080 | NVD → |
| CVE-2025-50079 | NVD → |
| CVE-2025-50083 | NVD → |
| CVE-2025-50099 | NVD → |
| CVE-2024-39929 | NVD → |
| CVE-2026-21964 | NVD → |
| CVE-2023-42114 | NVD → |
| CVE-2025-50081 | NVD → |
| CVE-2025-50082 | NVD → |
🔴 На этом хосте обнаружено 36 известных CVE, связанных с его открытыми сервисами. Такой объём указывает на крайне устаревшее ПО. Проверьте каждую CVE в базе NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
31.129.47.28 получил оценку угрозы 65/100 (Высокий). При таком уровне угрозы IP считается высокорисковым. Правила файрвола должны быть обновлены для блокировки трафика с этого источника.
Обнаружены следующие категории атак:
📊 Threat Analysis
Адрес 31.129.47.28 происходит из Moscow, Russia, работающий в сети JSC Selectel. Он был идентифицирован в ходе автоматического анализа входящего сетевого трафика на мониторируемых узлах. В течение 1-дневного окна наблюдения мы зафиксировали 3 враждебных запросов с этого IP — примерно 3 в день в среднем. Этот адрес принадлежит дата-центру или облачному хостингу. Хостинговые IP часто используются злоумышленниками, арендующими дешёвые VPS специально для проведения атак. Двойные векторы атак — Аномалия User-Agent в сочетании с Перебор путей — указывают на координированную атаку, а не оппортунистическое сканирование. С 140 отмеченными адресами Russia представляет значительным присутствие в нашей базе угроз. При 65/100 этот IP представляет реальную угрозу. Внедрите ограничение частоты с эскалацией до блокировки.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 HTTP Header Analysis for Threat Detection
Examining HTTP headers beyond User-Agent reveals attack tools and automated scripts. Missing standard headers, unusual ordering, non-standard values, and inconsistencies with claimed client identity all serve as reliable detection signals.
💡 Security Header Best Practices
HTTP security headers provide defense-in-depth with minimal implementation effort. Key headers include Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, and Permissions-Policy, each addressing specific attack vectors.