Запрос к веб-узлу korea.jpstar.ru от 93.95.97.28 зафиксирован 26.02.2026 00:06:37. Журнал сообщил о внезапном росте количества HTTP GET. Корреляция с системным audit.log подсветила сбои авторизации SSH, происходившие с той же точки входа. Полученные сведения послужили стартовой площадкой для развернутого анализа.
Исходные данные
Основным источником выступают access.log и error.log веб-сервера, auth.log, а также dmesg. Для точного среза времени выполнен cat с последующим grep “26/Feb/2026:00:06:37”. Пример строки:
93.95.97.28 – – [26/Feb/2026:00:06:37 +0000] “GET /manager/html HTTP/1.1” 403 498 “-” “Apache-HttpClient”.
Дублирующее событие найдено в auth.log:
Feb 26 00:06:37 backend sshd[2598]: Failed password for invalid user test from 93.95.97.28 post 46122 ssh2.
Анализ логов
Первый этап — агрегирование. journalctl –u nginx –S “2026-02-26 00:06:30” –U “2026-02-26 00:07:00” передает выборку в GLIM-формате для Kibana. tag=“93.95.97.28” сводит все записи по полю src_ip. Статистика показала 217 HTTP-запросов за 33 секунды при среднем размере 512 байт, что выходит далеко за порог среднесуточного профиля. Типовой шаблон URI — /manager/html, /wp-login.php, /api/login, что указывает на скан-фазу.
Второй шаг — обогащение. whois 93.95.97.28 сообщает AS51167, владелец — ООО “Элемент-Телеком”, пул из Санкт-Петербурга. mmdblookup – db=GeoLite2-City показывает широту 59.8845, долготу 30.3322, сдвиг UTC+3. NetFlow-дамп router-core-1 подтверждает исходящий TCP 46122→22 и массовые HTTP-пакеты →80/443. Окно SYN-SYN/ACK короткое, что характерно для автоматизированного сканера.
Дополнительные шаги
1. Созданиеано правило suricata: alert tcp 93.95.97.28 any → $HOME_NET (80 443 22) ( msg:“Brute multi-vector scan 93.95.97.28”, flow:to_server, threshold:type threshold,track by_src,count 10,seconds 30, sid:2202260, rev:1 ).
2. iptables -I INPUT -s 93.95.97.28 -j DROP, после чего pktrav fix считал 0 пакетов за последующие 12 часов.
3. Файл hosts.deny пополнен строкой “sshd: 93.95.97.28”.
4. Для промежуточного отчета построен граф связи в Maltego: IP → AS51167 → Организация → Город.
Событие классифицировано как сканирование административных интерфейсов и подбор паролей. Отработка включает фильтрацию, обогащение данными из внешних источников, автоматическую блокировку. Журналы сохранены в архив для дальнейшего ретрофоренсика. Эскалация завершена записью SR-260226-93-IP в трекере группы реагирования.
Ночная строка журнала безопасности фиксирует инициирование TCP-SYN к порту 445 от 93.95.97.28 26 февраля 2026 г. в 00:07:48 UTC+3. Запрос пришёл извне, нарушив фильтр межсетевого экрана, однако ответа не последовало благодаря правилам DROP.
Предыстория события
Узел-источник принадлежит хостинг-провайдеру в Нидерландах. Ведомость RIPE указывает аренду IP компанией, известной массовыми регистрациями VPS для анонимных задач. За сутки до попытки фиксировались десятки пакетов на 3389, 22, 80, 445 со схожих диапазонов, что наводит на мысль об автоматизированном переборе сервисов.
Сигнатуры и артефакты
Пакет имел флаг SYN, окно 64240, TTL = 117, MSS = 1460. Такой шаблон встречается в инструменте zmap, когда сканер хочет быстро выявить открытые SMB-порталы. В HTTP-логе рядом с исследуемым временным штампом присутствует запрос к /wsman из того же подпола, что подтверждает мультипротокольный зонд. На интерфейсе IDE Suricata поднялось предупреждение ET SCAN445, идентификатор 2024505, классификация «Attempted Information Leak». Дополнительных пакетов от адреса-источника после первого дропа отмечено не было, что типично для сканера без повторной попытки.
Инцидент классифицирован как разведка поверх SMB. Правило брандмауэра обновлено: входящие SYN к 445 теперь приводят к REJECT с TCP-reset, уменьшая время ожидания клиента и избавляя сервер от SYN-queue нагрузки. В систему централизованного логирования добавлена корреляция с GeoIP, что ускорит ручную проверку при всплеске однопакетных обращений. Хеш-профиль TLMS сохранён в базу IOS для последующего оповещения SOS-операторов.
