Liste des IP qui essayent d’exploiter la faille Outlook Web Access (OWA) : « /owa/auth/logon.aspx »

60 x served & 18 x viewed

Un exemple de logs :

192.241.211.240 - - [29/Jul/2021:11:51:11 +0200] "GET /owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f HTTP/1.1" 302 4949 "-" "Mozilla/5.0 zgrab/0.x"

La liste des IP :

# zgrep "/owa/auth/logon.aspx" /var/log/apache2/access.humhub.log.*gz | sed 's/:/ /g' | awk '{print $2}' | sort -n | uniq | awk '{print "/usr/sbin/iptables -A INPUT -s " $1 " -j DROP "}'
/usr/sbin/iptables -A INPUT -s 13.52.99.132 -j DROP 
/usr/sbin/iptables -A INPUT -s 92.154.95.236 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.202.155 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.202.30 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.204.132 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.206.232 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.208.28 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.209.114 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.210.206 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.210.44 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.218.70 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.219.54 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.221.104 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.221.238 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.221.249 -j DROP 

Maintenant je filtre 213 IP publiques :

# cat /etc/iptables/rules.v4 | grep "DROP" | wc -l
213

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload CAPTCHA.