Отчёт по IP-адресу
82.180.145.166
ABUSE.MOM — ВЕДИ СЕБЯ ПРИЛИЧНО ИЛИ БУДЕШЬ РАЗОБЛАЧЁН
Геолокация и классификация
Сработавшие сигнатуры
| Сигнатура | Описание | Баллы | Опасность |
|---|---|---|---|
| UA bot: spider | Обнаружен User-Agent известного бота/краулера | +40 | |
| Danger medium hits: 6 | Запросы к админ-панелям, файлам конфигурации | +60 | |
| POST requests present | Поведенческая аномалия обнаружена автоматически | +8 | |
| UA changed for same IP | Несколько User-Agent строк — ротация бота | +25 | |
| Danger medium hits: 3 | Запросы к админ-панелям, файлам конфигурации | +30 |
Зафиксированная активность
Реконструированные HTTP-запросы из серверных логов. Целевые домены скрыты в целях безопасности.
* Typical request patterns for detected signatures. Actual target domains are redacted.
Хронология
Сетевой провайдер
Рекомендации
Предпринятые и рекомендуемые меры
- IP 82.180.145.166 заблокирован на уровне приложения (HTTP 403)
- Рекомендуется блокировка на уровне файрвола (iptables/CSF)
- Направьте жалобу провайдеру через abuse-контакт
- Убедитесь, что файлы (.env, .git, бэкапы) недоступны из веба
🤖 Обнаружение ботов
Борьба с подделкой UA от 82.180.145.166: ведите чёрный список известных вредоносных UA-строк, требуйте консистентный UA в сессиях, внедрите TLS-фингерпринтинг.
Открытые порты и сервисы
Данные сетевой разведки Shodan. Открытые порты могут указывать на работающие сервисы, неправильную конфигурацию или поверхность атаки.
| Port | Service | Risk | Description |
|---|---|---|---|
| 80 | HTTP | Low | HTTP web server — standard web traffic |
| CVE ID | Link |
|---|---|
| CVE-2024-36387 | NVD → |
| CVE-2009-2299 | NVD → |
| CVE-2025-66200 | NVD → |
| CVE-2025-49630 | NVD → |
| CVE-2012-3526 | NVD → |
| CVE-2024-39573 | NVD → |
| CVE-2024-38473 | NVD → |
| CVE-2024-43204 | NVD → |
| CVE-2025-55753 | NVD → |
| CVE-2013-2765 | NVD → |
| CVE-2024-27316 | NVD → |
| CVE-2025-49812 | NVD → |
| CVE-2009-0796 | NVD → |
| CVE-2024-38477 | NVD → |
| CVE-2011-2688 | NVD → |
| CVE-2024-47252 | NVD → |
| CVE-2025-53020 | NVD → |
| CVE-2024-38472 | NVD → |
| CVE-2011-1176 | NVD → |
| CVE-2013-0942 | NVD → |
| CVE-2023-38709 | NVD → |
| CVE-2013-0941 | NVD → |
| CVE-2025-23048 | NVD → |
| CVE-2024-38475 | NVD → |
| CVE-2024-38476 | NVD → |
🔴 На этом хосте обнаружено 37 известных CVE, связанных с его открытыми сервисами. Такой объём указывает на крайне устаревшее ПО. Проверьте каждую CVE в базе NVD.
Источник: Shodan InternetDB. Сканирование независимо от abuse.mom.
Статус в чёрных списках (DNSBL)
Этот IP проверен по основным DNS-чёрным спискам, используемым почтовыми серверами и файрволами по всему миру.
Проверено: Spamhaus, SpamCop, Barracuda, SORBS, CBL, UCEProtect. Результаты могут меняться.
Анализ угрозы
82.180.145.166 получил оценку угрозы 108/100 (Критический). Это угроза критического уровня. Системным администраторам следует рассматривать этот IP как враждебный и блокировать все входящие соединения без исключений.
Обнаружены следующие категории атак:
📊 Threat Analysis
Адрес 82.180.145.166 происходит из Mumbai, India, работающий в сети Contabo Asia Private Limited. Он был идентифицирован в ходе автоматического анализа входящего сетевого трафика на мониторируемых узлах. За период в 20 дней этот IP сгенерировал 2 вредоносных запросов, в среднем ~0.1 запросов в день. Классифицированный как хостинговый IP, этот адрес скорее всего работает на арендованном сервере или облачном инстансе. Атакующие предпочитают IP дата-центров за их высокую пропускную способность и одноразовость. IP демонстрирует манипуляцию User-Agent, переключаясь между разными идентификаторами браузеров или отправляя пустые заголовки. С 18 отмеченными адресами India представляет заметным присутствие в нашей базе угроз. Оценка 108/100 помещает этот адрес в высшую категорию серьёзности. Заблокируйте и проверьте исторические подключения.
Этот IP принадлежит хостинг-провайдеру или дата-центру. Вредоносный трафик из хостинг-инфраструктуры часто исходит от взломанных VPS, арендованных серверов для сканирования или злоупотребления бесплатными облачными аккаунтами.
Связанные угрозы
🇮🇳 Топ угроз из India
62.72.43.237 (305)217.216.78.172 (230)217.216.79.192 (230)217.216.79.203 (230)217.216.58.209 (195)Смотреть все →🏢 Та же сеть: AS141995
62.72.43.237 (305)194.233.69.211 (273)62.146.239.75 (255)46.250.229.47 (245)217.216.32.203 (230)Смотреть все →Аналитика безопасности
💡 TLS Fingerprinting (JA3/JA4)
TLS fingerprinting creates unique identifiers based on how clients negotiate encrypted connections. The JA3 and JA4 methods generate hashes from TLS ClientHello parameters, enabling identification of specific tools and malware regardless of IP address changes.
💡 DDoS Mitigation Approaches
Distributed denial of service attacks overwhelm infrastructure with traffic volume. Effective mitigation combines always-on traffic scrubbing, anycast network distribution, rate limiting, and the ability to quickly scale absorption capacity during attacks.