Отчёт по IP-адресу
34.55.131.222
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA changed for same IP | Несколько User-Agent строк — ротация бота | +25 | |
| Danger medium hits: 6 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 18 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 21 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 34.55.131.222 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 34.55.131.222: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🌊 Защита от флуда/DDoS
Внедрите limit_req_zone в nginx. Разверните CDN с защитой от DDoS. Настройте SYN cookies и отслеживание соединений для дросселирования 34.55.131.222.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 22 | SSH | Low | Secure Shell — common brute force target for remote access |
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 443 | HTTPS | Low | HTTPS web server — encrypted web traffic |
| CVE ID | Link |
|---|---|
| CVE-2024-40898 | NVD → |
| CVE-2025-65082 | NVD → |
| CVE-2022-28615 | NVD → |
| CVE-2023-45802 | NVD → |
| CVE-2022-23943 | NVD → |
| CVE-2022-28330 | NVD → |
| CVE-2022-30556 | NVD → |
| CVE-2024-24795 | NVD → |
| CVE-2023-31122 | NVD → |
| CVE-2009-2299 | NVD → |
| CVE-2025-53020 | NVD → |
| CVE-2022-22721 | NVD → |
| CVE-2011-1176 | NVD → |
| CVE-2025-55753 | NVD → |
| CVE-2024-38474 | NVD → |
| CVE-2023-25690 | NVD → |
| CVE-2013-0942 | NVD → |
| CVE-2007-4723 | NVD → |
| CVE-2024-38472 | NVD → |
| CVE-2025-66200 | NVD → |
| CVE-2025-58098 | NVD → |
| CVE-2024-27316 | NVD → |
| CVE-2025-23048 | NVD → |
| CVE-2022-37436 | NVD → |
| CVE-2006-20001 | NVD → |
🔴 На этом хосте обнаружено 54 известных CVE, связанных с его открытыми сервисами. Такой объём указывает на крайне устаревшее ПО. Проверьте каждую CVE в базе NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
34.55.131.222 получил оценку угрозы 165/100 (Критический). Это помещает его в категорию критической угрозы. Рекомендуется немедленная блокировка на всех сетевых периметрах.
Обнаружены следующие категории атак:
📊 Threat Analysis
Сетевой трафик от 34.55.131.222, расположенного в Council Bluffs, United States, работающий в сети Google LLC, классифицирован как вредоносный нашей автоматической системой оценки угроз. За период в 1 дней этот IP сгенерировал 1 вредоносных запросов, в среднем ~1 запросов в день. Этот адрес принадлежит дата-центру или облачному хостингу. Хостинговые IP часто используются злоумышленниками, арендующими дешёвые VPS специально для проведения атак. Двойные векторы атак — Аномалия User-Agent в сочетании с Флуд запросами — указывают на координированную атаку, а не оппортунистическое сканирование. Наши записи показывают 142 вредоносных IP, исходящих из United States, что позиционирует её как значительным источник глобальной угрозы. Оценка 165/100 помещает этот адрес в высшую категорию серьёзности. Заблокируйте и проверьте исторические подключения.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 HTTP Header Analysis for Threat Detection
Examining HTTP headers beyond User-Agent reveals attack tools and automated scripts. Missing standard headers, unusual ordering, non-standard values, and inconsistencies with claimed client identity all serve as reliable detection signals.
💡 HTTP Request Smuggling
Request smuggling exploits differences in how front-end and back-end servers parse HTTP requests. This technique can bypass security controls, poison web caches, and hijack other users sessions by desynchronizing request boundaries.