Отчёт по IP-адресу
8.137.127.197
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| Danger medium hits: 6 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| 404 ratio 40-60% | Большинство запросов вернули 404 — перебор файлов | +15 | |
| Probe pattern 302->404 same path | Поведенческая аномалия обнаружена автоматически | +20 | |
| Foreign referer seen | Referer с постороннего внешнего домена | +10 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 8.137.127.197 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🔎 Защита от перебора путей
Заблокируйте сканирование от 8.137.127.197: ограничьте частоту ответов 404 на IP, разместите honeypot-страницу 404, убедитесь что бэкапы недоступны из веба.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 3306 | MySQL | High | MySQL database — should never be exposed to the internet |
| 9080 | Unknown | Low | Service on port 9080 |
⚠️ Обнаружено 1 порт высокого риска на 8.137.127.197. Эти сервисы не должны быть публично доступны без строгих правил файрвола.
| CVE ID | Link |
|---|---|
| CVE-2024-21173 | NVD → |
| CVE-2025-50087 | NVD → |
| CVE-2025-50088 | NVD → |
| CVE-2024-21236 | NVD → |
| CVE-2025-50091 | NVD → |
| CVE-2024-21237 | NVD → |
| CVE-2024-21239 | NVD → |
| CVE-2024-21230 | NVD → |
| CVE-2024-21201 | NVD → |
| CVE-2024-21130 | NVD → |
| CVE-2024-21134 | NVD → |
| CVE-2025-50102 | NVD → |
| CVE-2024-21069 | NVD → |
| CVE-2024-21199 | NVD → |
| CVE-2024-21163 | NVD → |
| CVE-2024-21096 | NVD → |
| CVE-2024-21194 | NVD → |
| CVE-2024-21197 | NVD → |
| CVE-2024-21203 | NVD → |
| CVE-2024-21198 | NVD → |
| CVE-2024-21165 | NVD → |
| CVE-2024-21047 | NVD → |
| CVE-2025-50076 | NVD → |
| CVE-2024-21087 | NVD → |
| CVE-2025-50104 | NVD → |
🔴 На этом хосте обнаружено 70 известных CVE, связанных с его открытыми сервисами. Такой объём указывает на крайне устаревшее ПО. Проверьте каждую CVE в базе NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
8.137.127.197 получил оценку угрозы 105/100 (Критический). Это угроза критического уровня. Системным администраторам следует рассматривать этот IP как враждебный и блокировать все входящие соединения без исключений.
Обнаружены следующие категории атак:
📊 Threat Analysis
8.137.127.197 зарегистрирован в Chengdu, China, работающий в сети Hangzhou Alibaba Advertising Co., Ltd.. Этот IP впервые появился в наших лентах угроз после срабатывания множества поведенческих сигнатур обнаружения. Адрес был активен 1 дней в нашей системе мониторинга, произведя 1 подозрительных запросов со скоростью ~1/день. Этот жилой IP — вероятно, скомпрометированное пользовательское устройство. Домашние роутеры и IoT-оборудование с паролями по умолчанию — главные цели операторов ботнетов. IP демонстрирует поведение перебора директорий, систематически запрашивая несуществующие пути для обнаружения скрытых файлов и неправильно настроенных ресурсов. С 123 отмеченными адресами China представляет значительным присутствие в нашей базе угроз. Оценка 105/100 помещает этот адрес в высшую категорию серьёзности. Заблокируйте и проверьте исторические подключения.
Этот IP классифицирован как жилой (residential), что может означать скомпрометированное домашнее устройство, участник IoT-ботнета или заражённый ПК. Владелец обычно не знает о вредоносной активности.
Связанные угрозы
Аналитика безопасности
💡 Brute Force Attack Mechanics
Brute force attacks systematically try username and password combinations to gain unauthorized access. Modern attacks leverage credential databases from previous breaches, testing millions of combinations using distributed botnets across multiple IP addresses.
💡 Cryptojacking Detection and Prevention
Cryptojacking hijacks computing resources to mine cryptocurrency without consent. Indicators include unusual CPU usage, specific network connections to mining pools, and JavaScript miners embedded in compromised websites. Server-side cryptojacking can persist undetected for months.