Отчёт по IP-адресу
45.86.211.26
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA bot: Go-http-client | Обнаружен User-Agent известного бота/краулера | +40 | |
| 404 ratio >= 60% | Большинство запросов вернули 404 — перебор файлов | +25 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 45.86.211.26 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 45.86.211.26: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
🔎 Защита от сканирования каталогов
IP 45.86.211.26 перебирает директории. Настройте fail2ban джейл apache-404 после 10+ ошибок 404. Отключите листинг директорий. Унифицируйте все ответы 404.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 1443 | Unknown | Low | Service on port 1443 |
| 4000 | Unknown | Low | Service on port 4000 |
| 7443 | Unknown | Low | Service on port 7443 |
| 8443 | HTTPS-Alt | Low | Service on port 8443 |
| 41675 | Unknown | Low | Service on port 41675 |
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
45.86.211.26 получил оценку угрозы 65/100 (Высокий). При таком уровне угрозы IP считается высокорисковым. Правила файрвола должны быть обновлены для блокировки трафика с этого источника.
Обнаружены следующие категории атак:
📊 Threat Analysis
IP-адрес 45.86.211.26 отслежен до Phoenix, United States, работающий в сети Clouvider Limited. Наши системы обнаружения угроз пометили этот адрес на основе наблюдаемых паттернов вредоносного поведения. В течение 1-дневного окна наблюдения мы зафиксировали 1 враждебных запросов с этого IP — примерно 1 в день в среднем. Адрес классифицирован как жилой (residential), что означает принадлежность к пользовательскому ISP-подключению. Вредоносная активность с жилых IP обычно указывает на компрометацию устройства или участие в ботнете. Двойные векторы атак — Аномалия User-Agent в сочетании с Перебор путей — указывают на координированную атаку, а не оппортунистическое сканирование. United States в настоящее время составляет 169 заблокированных IP в нашей базе данных, что делает её значительным источником вредоносного трафика. При 65/100 этот IP представляет реальную угрозу. Внедрите ограничение частоты с эскалацией до блокировки.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 TLS Fingerprinting (JA3/JA4)
TLS fingerprinting creates unique identifiers based on how clients negotiate encrypted connections. The JA3 and JA4 methods generate hashes from TLS ClientHello parameters, enabling identification of specific tools and malware regardless of IP address changes.
💡 DNS Amplification Attack Mechanics
DNS amplification exploits open resolvers to reflect and amplify traffic toward victims. A small query triggers a large response directed at the spoofed source IP, achieving amplification factors of 50x or more, overwhelming target bandwidth.