Журнал сервера часто содержит ключи к инцидентам. Адрес 93.95.97.28 отметился в 12:19:48 19.01.2026, когда сервис работал штатно. Инфраструктура сочла отклонение подозрительным: user-agent «ZmEu» указывает на автоматический сканер, а частота запросов превысила медиану в шесть раз. Подробности см. https://мос-кабель.рф/.
Для подтверждения гипотезы подготовим выборку логов за прошедшие сутки. Команда shell:
Команда wc -l ip.log фиксирует 14236 запросов, среднее значение для одного адреса — 580. Разница очевидна.
Локализация запроса
GeoIP2 добавляет контекст: 93.95.97.28 связан с сетью, обслуживаемой в Амстердаме. Доступ к административному интерфейсу ограничен российскими адресами, поэтому соединение из-за рубежа классифицируется как аномальное.
whois выдал контакт abuse@blazingfast.io. Дальнейшие правовые уведомления направляются именно туда.
Анализ паттернов
awk ‘{print $7}’ ip.log | sort | uniq -c | sort -nr | head продемонстрировал фокус на файлах /.etc, /phpmyadmin/, /wp-admin/. Сигнатура совпадает с ботом, перебирающим популярные точки входа.
График, построенный через gnuplot, показал пики с интервалом 90 секунд, что заметно для фильтра rate-limit.
du -sh ip.log выдаёт 24M, в то время как общий access-log за тот же интервал составляет 68M. Злоумышленник потребил почти треть полосы.
Ответные меры
В iptables добавляется строка: iptables -I INPUT -s 93.95.97.28 -j DROP. Фильтр снимет нагрузку немедленно.
В fail2ban jail.local включаем правило nginx-NoAuth. После перезапуска службы действие автоматизируется.
Логи передаются в ELK для дальнейшей корреляции. Индекс помечен тегом suspect_ip_20260119, что упрощает поиск повторных визитов.
Администрация хостера уведомлена. Сохранён полный дамп пакетов tcpdump -nn -s0 host 93.95.97.28 -w 93.95.97.28.pcap для разборки сигнатур внутри отдельных запросов.
Событие завершилось блокировкой без остаточного ущерба, а правило hardening.md пополнено новой сигнатурой.
Системный журнал зафиксировал обращение с IP-адреса 93.95.97.28 19 января 2026 г. в 12:20:27 UTC+3. Событие классифицировано как потенциально подозрительное из-за отклонения от привычных графиков запросов к API шлюза аутентификации. Давление на конечную точку привело к всплеску поздних ответов, что спровоцировало автоматическое включение режима Verbose-tracing.
Хронология запроса
Первые пакеты TCP-сеанса поступили на порт 443, выбранный протокол TLS 1.3. В течение 320 мс клиент завершил рукопожатие и инициировал серию GET /authorize?client_id=*. Интервал между пакетами внутри окна — 4,1 мс, тогда как базовый уровень активности за предыдущие двадцать четыре часа не превышал 0,7 мс. Общий объём входящего трафика достиг 58 МБ, при этом сервер передал лишь 7,4 МБ полезных данных, остальное — повторные попытки. Через 17 с сессия прервалась RST-пакетом со стороны клиента.
Повторное соединение стартовало через 90 с, уже с подменой TLS Client Hello: поле session_ticket_age изменено на 0x16f21, что обычно указывает на поддельную историю сессий. Дополнительные признаки ревизии пакетов: шаговое повышение размеров MSS, агрессивное окно приёма во втором слоте. Фильтр Suricata пометил шаблон как REDIS-Bust-Scan.
Профиль источника
Разбор GeoIP справочников показал территориальную принадлежность к дата-центру AS58258, расположенному в Амстердаме. Диапазон 93.95.97.0/24 известен из-за высокой плотности динамических VPS. История злоупотреблений из AbuseIPDB демонстрирует 214 жалоб за предыдущие 90 дней, основное большинство описывает сканирование VNC и SMTP. WHOIS-ответ фиксирует обновленияние записи RIPE 06.11.2025, ответственным контактным лицом указан support@ip-server.eu.
Паспорт трафика периферийной сети вокруг узла (NetFlow 5-main snapshot, CIDR /22) указывает на качели активности с 01:00 до 05:00 UTC. Всплески совпадают с массовыми выходами сессий к портам 1433, 3389, 6379. Неувязка со стандартным cron-расписанием внутри указанного AS усилила подозрение в наличии ботнет-сервисов.
Процедуры реагирования
Автоматическая система SIEM активировала политику quarantine-ip с пересылкой потоков в изолированный VLAN. Порог IDS snort_flow_max снижен до 120 pts/s, что сократило время блокировки до 3,2 мс. Параллельно стартовал сбор артефактов: pcap, sysdig-трейсы, журналы reverse-proxy caddy. Материал сохранён в хранилище evidence-lake с контрольной суммой SHA-256 33da7e…e8b. Группа IR присвоила инциденту приоритет P2, SLA-окно — 8 часов.
Следующий шаг — уведомление провайдера-холдера с доказательной базой: логи, экранные копии виртуального консолидированного графика и извлечённые ключи JA3. Формализованное письмо отправлено через RIPE-NCC-portal. Ожидается ответ с подтверждением устранения узла либо блокировки арендатора.
Для внутренней сети внедрён временной патч уровня WAF, фильтрующий URI-паттерн /authorize и ограничивающий burst-rate до 10 r/s. Показатели доступности сервиса вернулись к нормальному уровню через 12 мин.
