Liste des IP qui essayent d’exploiter la faille Outlook Web Access (OWA) : « /owa/auth/logon.aspx »

400 x served & 66 x viewed

Un exemple de logs :

192.241.211.240 - - [29/Jul/2021:11:51:11 +0200] "GET /owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f HTTP/1.1" 302 4949 "-" "Mozilla/5.0 zgrab/0.x"

La liste des IP :

# zgrep "/owa/auth/logon.aspx" /var/log/apache2/access.humhub.log.*gz | sed 's/:/ /g' | awk '{print $2}' | sort -n | uniq | awk '{print "/usr/sbin/iptables -A INPUT -s " $1 " -j DROP "}'
/usr/sbin/iptables -A INPUT -s 13.52.99.132 -j DROP 
/usr/sbin/iptables -A INPUT -s 92.154.95.236 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.202.155 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.202.30 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.204.132 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.206.232 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.208.28 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.209.114 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.210.206 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.210.44 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.218.70 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.219.54 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.221.104 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.221.238 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.221.249 -j DROP 

Maintenant je filtre 213 IP publiques :

# cat /etc/iptables/rules.v4 | grep "DROP" | wc -l
213

1 réflexion sur « Liste des IP qui essayent d’exploiter la faille Outlook Web Access (OWA) : « /owa/auth/logon.aspx » »

  1. Update, nouveau logs :
    192.241.198.231 – – [14/Oct/2021:08:15:56 +0200] « GET /owa/auth/logon.aspx HTTP/1.1 » 302 4947 « – » « Mozilla/5.0 zgrab/0.x »
    192.241.206.102 – – [14/Oct/2021:14:57:32 +0200] « GET /owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f HTTP/1.1 » 302 4947 « – » « Mozilla/5.0 zgrab/0.x »

    Je filtre donc ses deux IP.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Time limit is exhausted. Please reload CAPTCHA.