Отчёт по IP-адресу
66.212.27.217
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger medium hits: 6 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Probe pattern 302->404 same path | Поведенческая аномалия обнаружена автоматически | +20 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 66.212.27.217 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- В подсети /24 обнаружены другие вредоносные IP — рассмотрите блокировку 66.212.27.0/24
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от перебора путей
Заблокируйте сканирование от 66.212.27.217: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
Соседи в 66.212.27.0/24
Другие заблокированные IP из той же подсети /24 — признак систематического злоупотребления.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| 3128 | Unknown | Low | Service on port 3128 |
| 8000 | Unknown | Low | Service on port 8000 |
| 8080 | HTTP-Alt | Low | HTTP alternative port — often used for admin panels or proxies |
| 8800 | Unknown | Low | Service on port 8800 |
| 9909 | Unknown | Low | Service on port 9909 |
| 21242 | Unknown | Low | Service on port 21242 |
| 52951 | Unknown | Low | Service on port 52951 |
| CVE ID | Link |
|---|---|
| CVE-2026-33515 | NVD → |
| CVE-2021-31806 | NVD → |
| CVE-2018-19131 | NVD → |
| CVE-2020-15049 | NVD → |
| CVE-2023-46728 | NVD → |
| CVE-2019-12522 | NVD → |
| CVE-2021-28116 | NVD → |
| CVE-2020-15810 | NVD → |
| CVE-2020-11945 | NVD → |
| CVE-2022-41318 | NVD → |
| CVE-2020-24606 | NVD → |
| CVE-2019-12520 | NVD → |
| CVE-2019-12519 | NVD → |
| CVE-2020-8449 | NVD → |
| CVE-2019-12523 | NVD → |
| CVE-2020-25097 | NVD → |
| CVE-2018-1000024 | NVD → |
| CVE-2023-46846 | NVD → |
| CVE-2021-31807 | NVD → |
| CVE-2019-12521 | NVD → |
| CVE-2020-8517 | NVD → |
| CVE-2016-10003 | NVD → |
| CVE-2016-10002 | NVD → |
| CVE-2018-1000027 | NVD → |
| CVE-2025-59362 | NVD → |
🔴 На этом хосте обнаружено 59 известных CVE, связанных с его открытыми сервисами. Такой объём указывает на крайне устаревшее ПО. Проверьте каждую CVE в базе NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
66.212.27.217 получил оценку угрозы 105/100 (Критический). Это помещает его в категорию критической угрозы. Рекомендуется немедленная блокировка на всех сетевых периметрах.
Обнаружены следующие категории атак:
📊 Threat Analysis
Сетевой трафик от 66.212.27.217, расположенного в Los Angeles, United States, работающий в сети HostPapa, классифицирован как вредоносный нашей автоматической системой оценки угроз. Наши сенсоры зафиксировали 6 вредоносных запросов с этого адреса за 14 дней, что отражает устойчивую интенсивность атак ~0.4 запросов в день. Это жилой IP-адрес, что указывает на скомпрометированное домашнее устройство — роутер, умное устройство или заражённую рабочую станцию, участвующую в ботнете. Обнаружено активное сканирование путей — этот IP зондирует сотни распространённых имён файлов и директорий. С 202 отмеченными адресами United States представляет значительным присутствие в нашей базе угроз. При 105/100 это крайне высокорисковый адрес. Весь трафик следует считать враждебным.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 Directory Traversal Attacks
Path traversal attacks attempt to access files outside the intended directory by manipulating file path references. Attackers use sequences like ../ to reach sensitive system files such as /etc/passwd or application configuration files.
💡 Backup and Recovery Against Ransomware
Immutable, offline backups remain the most effective defense against ransomware. The 3-2-1 rule — three copies on two media types with one offsite — combined with regular recovery testing ensures business continuity after encryption attacks.