Archives de catégorie : Sécurité

Liste des IP qui essayent d’exploiter la faille microsoft.exchange.ediscovery.exporttool.application

Publié le par
2

Un exemple de logs :

192.241.212.111 - - [29/Jul/2021:00:55:15 +0200] "GET /ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application HTTP/1.1" 302 4949 "-" "Mozilla/5.0 zgrab/0.x"

Liste des ip :

# zgrep "/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application" /var/log/apache2/access.humhub.log.*gz | sed 's/:/ /g' | awk '{print $2}' | sort -n | uniq | awk '{print "/usr/sbin/iptables -A INPUT -s " $1 " -j DROP "}' 
/usr/sbin/iptables -A INPUT -s 192.241.197.168 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.208.45 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.209.206 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.210.112 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.210.26 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.211.59 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.211.81 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.211.83 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.212.191 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.219.62 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.221.181 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.223.182 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.223.191 -j DROP

Le nombre d’IP que j’ai blacklisté :

# cat /etc/iptables/rules.v4 | grep "DROP" | wc -l
228

Liste des IP qui essayent d’exploiter la faille Outlook Web Access (OWA) : « /owa/auth/logon.aspx »

Publié le par
1

Un exemple de logs :

192.241.211.240 - - [29/Jul/2021:11:51:11 +0200] "GET /owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f HTTP/1.1" 302 4949 "-" "Mozilla/5.0 zgrab/0.x"

La liste des IP :

# zgrep "/owa/auth/logon.aspx" /var/log/apache2/access.humhub.log.*gz | sed 's/:/ /g' | awk '{print $2}' | sort -n | uniq | awk '{print "/usr/sbin/iptables -A INPUT -s " $1 " -j DROP "}'
/usr/sbin/iptables -A INPUT -s 13.52.99.132 -j DROP 
/usr/sbin/iptables -A INPUT -s 92.154.95.236 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.202.155 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.202.30 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.204.132 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.206.232 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.208.28 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.209.114 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.210.206 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.210.44 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.218.70 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.219.54 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.221.104 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.221.238 -j DROP 
/usr/sbin/iptables -A INPUT -s 192.241.221.249 -j DROP

Maintenant je filtre 213 IP publiques :

# cat /etc/iptables/rules.v4 | grep "DROP" | wc -l
213

Liste des IP qui essayent d’exploiter la faille Boaform « /boaform/admin/formLogin »

Publié le par
1

Pour plus d’information : https://nvd.nist.gov/vuln/detail/CVE-2020-8958

Un exemple de logs :

222.137.98.210 - - [29/Jul/2021:03:47:33 +0200] "GET /boaform/admin/formLogin?username=ec8&psd=ec8 HTTP/1.0" 301 650 "-" "-"
114.134.24.46 - - [29/Jul/2021:06:02:40 +0200] "GET /boaform/admin/formLogin?username=ec8&psd=ec8 HTTP/1.0" 301 650 "-" "-"

La liste des IP sur mon serveur :

# zgrep "/boaform/admin/formLogin" /var/log/apache2/access.humhub.log.*gz | sed 's/:/ /g' | awk '{print $2}' | sort -n | uniq | awk '{print "/usr/sbin/iptables -A INPUT -s " $1 " -j DROP "}'
/usr/sbin/iptables -A INPUT -s 62.171.164.100 -j DROP 
/usr/sbin/iptables -A INPUT -s 93.174.89.216 -j DROP 
/usr/sbin/iptables -A INPUT -s 103.145.13.120 -j DROP 
/usr/sbin/iptables -A INPUT -s 111.59.6.79 -j DROP 
/usr/sbin/iptables -A INPUT -s 116.24.189.232 -j DROP 
/usr/sbin/iptables -A INPUT -s 125.41.13.162 -j DROP 
/usr/sbin/iptables -A INPUT -s 125.44.215.247 -j DROP 
/usr/sbin/iptables -A INPUT -s 134.122.43.75 -j DROP 
/usr/sbin/iptables -A INPUT -s 136.144.41.150 -j DROP 
/usr/sbin/iptables -A INPUT -s 143.110.208.55 -j DROP 
/usr/sbin/iptables -A INPUT -s 143.198.235.203 -j DROP 
/usr/sbin/iptables -A INPUT -s 143.198.66.250 -j DROP 
/usr/sbin/iptables -A INPUT -s 147.182.179.241 -j DROP 
/usr/sbin/iptables -A INPUT -s 147.182.179.242 -j DROP 
/usr/sbin/iptables -A INPUT -s 147.182.179.243 -j DROP 
/usr/sbin/iptables -A INPUT -s 147.182.179.244 -j DROP 
/usr/sbin/iptables -A INPUT -s 147.182.179.245 -j DROP 
/usr/sbin/iptables -A INPUT -s 165.227.42.8 -j DROP 
/usr/sbin/iptables -A INPUT -s 165.232.146.19 -j DROP 
/usr/sbin/iptables -A INPUT -s 167.99.184.39 -j DROP 
/usr/sbin/iptables -A INPUT -s 167.99.189.51 -j DROP 
/usr/sbin/iptables -A INPUT -s 205.185.115.135 -j DROP 
/usr/sbin/iptables -A INPUT -s 209.141.41.11 -j DROP 
/usr/sbin/iptables -A INPUT -s 209.141.41.98 -j DROP 
/usr/sbin/iptables -A INPUT -s 209.141.50.63 -j DROP 
/usr/sbin/iptables -A INPUT -s 209.141.54.8 -j DROP

Actuellement j’ai 198 IP qui sont blacklistés :

# cat /etc/iptables/rules.v4 | grep "DROP" | wc -l
198

Liste des IP qui essayent d’exploiter la faille « f+bin.arm7%3b%23&remoteSubmit=Save »

Publié le par
2

Exemple d’un logs :

42.193.186.22 - - [29/Jul/2021:10:49:58 +0200] "f+bin.arm7%3b%23&remoteSubmit=Save" 400 0 "-" "-"
42.193.186.22 - - [29/Jul/2021:10:49:58 +0200] "POST /cgi-bin/ViewLog.asp HTTP/1.1" 302 0 "-" "MtmKilledYou"

J’ai donc fait :

# zgrep "arm7" /var/log/apache2/access.humhub.log.*gz | sed 's/:/ /g' | awk '{print $2}' | sort -n | uniq | awk '{print "iptables -A INPUT -s " $1 " -j DROP "}'
iptables -A INPUT -s 42.193.186.22 -j DROP 
iptables -A INPUT -s 189.72.251.188 -j DROP 
iptables -A INPUT -s 195.47.196.114 -j DROP

J’ai donc blacklisté trois IP de plus … quand on aime …

Misère.

42.193.186.22 -> Chine
189.72.251.188 -> Brésil
195.47.196.114 -> Russie.

Le trio gagnant …. pour changer.

Misère.