Отчёт по IP-адресу
43.142.47.248
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA bot: Go-http-client | Обнаружен User-Agent известного бота/краулера | +40 | |
| Danger strong hits: 6 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 | |
| Probe pattern 302->404 same path | Поведенческая аномалия обнаружена автоматически | +20 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 | |
| Danger strong hits: 4 | Запросы к опасным путям: шеллы, RCE, эксплойты | +100 | |
| Burst: 6 req / 2s | Аномально высокая частота запросов — сканирование | +35 | |
| Danger strong hits: 3 | Запросы к опасным путям: шеллы, RCE, эксплойты | +75 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 43.142.47.248 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Защита от аномалий User-Agent
IP 43.142.47.248 демонстрирует подозрительное поведение UA. Блокируйте запросы с пустым User-Agent. Внедрите JavaScript-проверки для обнаружения ботов.
🔎 Защита от перебора путей
Заблокируйте сканирование от 43.142.47.248: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
🌊 Защита от флуда/DDoS
Внедрите limit_req_zone в nginx. Разверните CDN с защитой от DDoS. Настройте SYN cookies и отслеживание соединений для дросселирования 43.142.47.248.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 123 | Unknown | Low | Service on port 123 |
| 1883 | Unknown | Low | Service on port 1883 |
| 3306 | MySQL | High | MySQL database — should never be exposed to the internet |
| 8020 | Unknown | Low | Service on port 8020 |
| 8021 | Unknown | Low | Service on port 8021 |
| 8026 | Unknown | Low | Service on port 8026 |
| 8040 | Unknown | Low | Service on port 8040 |
| 8083 | Unknown | Low | Service on port 8083 |
| 8086 | Unknown | Low | Service on port 8086 |
| 8089 | Unknown | Low | Service on port 8089 |
| 9001 | Unknown | Low | Service on port 9001 |
| 33060 | Unknown | Low | Service on port 33060 |
⚠️ Сетевое сканирование выявило 1 опасных сервис на 43.142.47.248. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
| CVE ID | Link |
|---|---|
| CVE-2025-50098 | NVD → |
| CVE-2024-21135 | NVD → |
| CVE-2024-21193 | NVD → |
| CVE-2024-21236 | NVD → |
| CVE-2024-20971 | NVD → |
| CVE-2024-21199 | NVD → |
| CVE-2024-20996 | NVD → |
| CVE-2024-21196 | NVD → |
| CVE-2024-21047 | NVD → |
| CVE-2025-50097 | NVD → |
| CVE-2024-21230 | NVD → |
| CVE-2024-21087 | NVD → |
| CVE-2025-50077 | NVD → |
| CVE-2024-21231 | NVD → |
| CVE-2024-21207 | NVD → |
| CVE-2024-20973 | NVD → |
| CVE-2024-20969 | NVD → |
| CVE-2025-50083 | NVD → |
| CVE-2025-50091 | NVD → |
| CVE-2024-21238 | NVD → |
| CVE-2024-21125 | NVD → |
| CVE-2025-50078 | NVD → |
| CVE-2024-21101 | NVD → |
| CVE-2021-3618 | NVD → |
| CVE-2024-21102 | NVD → |
🔴 На этом хосте обнаружено 87 известных CVE, связанных с его открытыми сервисами. Такой объём указывает на крайне устаревшее ПО. Проверьте каждую CVE в базе NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
43.142.47.248 получил оценку угрозы 230/100 (Критический). Столь высокий балл характеризует критического агента угрозы. Этот адрес демонстрирует устойчивое агрессивное вредоносное поведение по множеству векторов обнаружения.
Обнаружены следующие категории атак:
📊 Threat Analysis
Сетевой трафик от 43.142.47.248, расположенного в Shanghai, China, работающий в сети Shenzhen Tencent Computer Systems Company Limited, классифицирован как вредоносный нашей автоматической системой оценки угроз. Адрес был активен 1 дней в нашей системе мониторинга, произведя 4 подозрительных запросов со скоростью ~4/день. Работая из инфраструктуры дата-центра, этот IP типичен для адресов, используемых в организованных атакующих операциях. Облачные и VPS-провайдеры часто эксплуатируются как стартовые площадки для автоматического сканирования. С 3 обнаруженными паттернами атак этот IP демонстрирует поведение, характерное для продвинутых автоматизированных фреймворков сканирования. С 194 отмеченными адресами China представляет значительным присутствие в нашей базе угроз. Оценка 230/100 помещает этот адрес в высшую категорию серьёзности. Заблокируйте и проверьте исторические подключения.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
Аналитика безопасности
💡 User-Agent Analysis Techniques
Analyzing User-Agent strings reveals automated tools masquerading as legitimate browsers. Inconsistencies between claimed browser capabilities and actual behavior, impossible version combinations, and known scanner signatures help identify malicious clients.
💡 Botnet Command and Control Evolution
Botnet C2 infrastructure has evolved from centralized IRC channels to resilient peer-to-peer networks, domain generation algorithms, and blockchain-based communication. This evolution makes botnet takedowns increasingly difficult and expensive.