Отчёт по IP-адресу
4.219.8.165
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA suspicious (short/empty) | Поведенческая аномалия обнаружена автоматически | +15 | |
| Danger strong hits: 14 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 172 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Probe pattern 302->404 same path | Поведенческая аномалия обнаружена автоматически | +20 | |
| Burst: 35 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 96 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 45 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 138 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 21 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Burst: 47 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 146 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 49 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 165 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 41 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 135 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 38 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 132 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 42 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 129 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 28 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Danger medium hits: 258 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| Burst: 40 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 121 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 89 req / 10s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 51 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Burst: 152 req / 10s | Аномально высокая частота запросов — сканирование | +35 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 4.219.8.165 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 4.219.8.165: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🔎 Защита от сканирования каталогов
IP 4.219.8.165 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
🌊 Защита от флуда трафика
IP 4.219.8.165 генерирует чрезмерный трафик. Ограничьте количество соединений с одного IP. Включите географическую блокировку если трафик из этого региона неожидан.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
4.219.8.165 получил оценку угрозы 280/100 (Критический). Это угроза критического уровня. Системным администраторам следует рассматривать этот IP как враждебный и блокировать все входящие соединения без исключений.
Обнаружены следующие категории атак:
📊 Threat Analysis
Сетевой трафик от 4.219.8.165, расположенного в Lorenskog, Norway, работающий в сети Microsoft Corporation, классифицирован как вредоносный нашей автоматической системой оценки угроз. В течение 1-дневного окна наблюдения мы зафиксировали 10 враждебных запросов с этого IP — примерно 10 в день в среднем. Работая из инфраструктуры дата-центра, этот IP типичен для адресов, используемых в организованных атакующих операциях. Облачные и VPS-провайдеры часто эксплуатируются как стартовые площадки для автоматического сканирования. Разнообразие 3 отдельных методов атаки указывает на комплексный набор атакующих инструментов. С 108 отмеченными адресами Norway представляет значительным присутствие в нашей базе угроз. Оценка 280/100 помещает этот адрес в высшую категорию серьёзности. Заблокируйте и проверьте исторические подключения.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 HTTP Header Analysis for Threat Detection
Examining HTTP headers beyond User-Agent reveals attack tools and automated scripts. Missing standard headers, unusual ordering, non-standard values, and inconsistencies with claimed client identity all serve as reliable detection signals.
💡 SQL Injection Campaigns
SQL injection remains one of the most common web attack vectors. Attackers inject malicious SQL code through input fields to extract database contents, modify data, or gain administrative access. Automated scanners test for SQLi vulnerabilities at massive scale.