Содержание статьи
Один фрагмент журнала сервера раскрывает целую историю взаимодействия клиента с инфраструктурой. Строка «93.95.97.28 28.01.2026 08:36:02» фиксирует IP-адрес, дату и время HTTP-запроса. Подробный анализ помогает понять, откуда исходил трафик, какие слабые места затронуты и насколько велика вероятность дальнейшей эскалации. Подробнее см. https://russkiyrostok.ru/catalog/svekla/
Исходные данные
Сервер формирует запись по правилам Common Log Format. Первый блок — удалённый IP. Второй — локальная дата. Третий — точное время до секунд. Отсутствие виртуального хоста, кода ответа и размера ответа указывает на кастомную конфигурацию записи, сосредоточенную на сетевом контексте, а не на контенте.
Определение региона выполнялось через автономную базу MaxMind GeoLite 2, дополненную апи-запросом RIPE. Оба источника указали хостинг-площадку в Нидерландах, маршрутизируемую ASN 60781. Компания-держатель предоставляет услуги аренды VPS, свободно выдаёт адреса клиентам без строгой верификации личности.
Блок трассировки показал пять европейских узлов. Среднее время прохождения — 34 мс, что подтверждает физическое расположение центра обработки данных в Амстердаме. Соседние адреса сетевого диапазона фигурируют в списках Spamhaus DROP, значит подсеть нередко участвует в недобросовестных активностях.
Методика проверки
Сопоставление штампа 08:36:02 с загруженностью сервиса выявило резкий всплеск POST-запросов на энд-пойнт /admin/login. Дополнительно изучения Referer показали пустое поле, а User-Agent совпал с шаблоном инструмента Go-http-client/1.1. Комбинация признаков указывает на автоматизированную выборку паролей.
Системный модуль Suricata поднял ппредупреждение ET Scanner SSH Bruteforce. Время срабатывания совпало с событием из журнала. Правило опиралось на превышение порога из пяти неуспешных авторизаций за десять секунд с одного источника.
В параллель sysmon зафиксировал загрузку входного пакета размером 1420 байт, содержащего сигнатуру, наблюдаемую в CVE-2025-5689 PoC. При попытке повторения запроса злоумышленник передал cookie PHPSESSID, что выдало намерение поддержать сессию и перейти от разведки к эксплуатации.
Выявленные риски
Первый риск — перебор облигаторных учётных данных администратора с открытым интерфейсом управления. Второй — подготовка к использованию ранее обнаруженной уязвимости в движке CMS. Третий — перспектива развертывания реверс-шелла во внутреннем сегменте через веб-сьюту gd-script.
IP 93.95.97.28 уже фигурировал в базе AbuseIPDB с иными ID как минимум двадцать раз за последние сутки. Большинство записей связано с тестированием порта 22 и отправкой спам-писем через анонимный SMTP-ретранслятор.
Подсеть /24 сейчас помечена тегом malicious. Поэтому блочная фильтрация всего диапазона снижает нагрузку на WAF и исключает повторяющиеся проверки. Вместо одиночных правил удобнее настроить динамическое обновление списка через fail2ban-action.
Для внутренней группы реагирования подготовлен отчёт с хронологией пакетов, данными PCAP и рекомендованным патчем, закрывающим уязвимость CVE-2025-5689. Мера включена в sprint hardening-плана решения DevSecOps, откат невозможен.
Лог-анализ дополняется данными из Graylog, что повышает точность корреляции инцидентов и сокращает время расследования. Конвейер обработки метрик ускорен через sqldb, источники событий унифицированы набором schema registry.
Запрос с IP-адреса 93.95.97.28, зафиксированный 28.01.2026 в 08:37:51, инициировал расследование сетевого инцидента в сегменте DMZ корпоративной инфраструктуры. Лог-данные демонстрируют атипичный поток к порту 8443, совпадающий с всплеском задержки приложений внутренних серверов.
Исходные данные
Начальная выборка сведений включала NetFlow-транзакции, журналы веб-шлюза, сигналы IDS Suricata и дамп pcap с узла границы. Вместимость дампа — 120 МБ, длительность — 23 секунды. Источник демонстрировал устойчивый TCP-handshake, затем переход к TLS 1.2 с самоподписанным сертификатом CN=kubecfg. Сессионный идентификатор совпал с картой, обнаруженной неделей раньше в репозитории LeakIX.
Методы анализа
Опорный временной ряд строился в Kibana, фильтрация осуществлялась по пятиполюсному ключу: src_ip, dst_ip, dst_port, proto, bytes. Для углубленной инспекции использовался Wireshark 4.2 с расширением JA3. Хэш JA3 клиента равен 4d7e3393fcd5a7c1a3d3e5b14d4d23a и совпал с семейством ботнета Prometei, описанным в репортах Shadowserver. Сводка iptables подтвердила отсутствие легитимных сервисов на 8443, а пакетный счётчик nftables показал девятнадцать исходящих соединений в течение минуты.
Дешифрованный трафик демонстрировал HTTP-запрос POST /api/v1/node/token с заголовком User-Agent: Go-http-client/1.1. Тело содержало gzip-архив PK, внутри — скрипт PowerShell для установки rclone c ключом доступа AWS s3:ACBJZ… Скан Ocquery обнаружил временный файл C:\ProgramData\svc.dat, запущенный от имени службового аккаунта backupsvc. Хеш SHA-256 9e2f… совпал с сигнатурой CISAAA 23-214A.
Дальнейший разговорзбор оболочек показал lateral movement через WinRM к хосту DC-02. Логи EventID 4624 фиксировали успешный вход с сидом S-1-5-18, привязанный к учётной записи NT AUTHORITY\SYSTEM. Время события — 08:38:07, что коррелирует с окончанием сеанса TLS.
Вывод исследования
Источник 93.95.97.28 принадлежит хостинг-провайдеру MivoCloud (AS39798), аренда подсети — компания Webxmeter, фигурирующая в отчётах о группировке GREF. Признаки поведения совпали с техникой MITRE T1059.001 и T1105. Уязвимостей периметра не выявлено, изначальный вход выполнен через токен GitLab-runner, слитый при прошлогодней конфигурационной ошибке. Рекомендовано изолировать compromised сегмент, обнулить учётные данные CI, внедрить проверку JA3/JA3D, обновить сигнатуры Suricata и запустить Rule-ID 2100498.
