使用nmap工具在网络发现Downadup/Conficker蠕虫病毒源
核心提示:1 Downadup / confickerconficker主要采用Windows操作系统MS08-067漏洞进行传播,也可以通过任何硬件设备与USB接口的感染。它是在2008被发现的,而且是微型的。1 Downadup / Conficker
Conficker主要是由Windows操作系统MS08-067漏洞传播,也可以通过任何硬件设备与USB接口的感染。它被发现在2008和微软的MS08-067补丁修复。但直到现在,仍然有很多的局域网在Downadup蠕虫病毒感染,一些杀毒软件仍然很烂,无法找到病毒的来源,导致一些机器多次发现Downadup报告,但不能被删除。
2 smb-check-vulns.nse Nmap脚本引擎
Nmap提供强大的脚本引擎(NSE)支持扩展的Nmap通过Lua编程能力。除了常见的主机发现、端口扫描等功能,脚本引擎扩展其他功能更加多样化,如检查常见漏洞信息和检测蠕虫感染功能,本文中提到的。
检查脚本的SMB vulns介绍和源代码的下载可以在nmap.org网站获得:>
l
SMB检查vulns脚本可以看下面的漏洞:
Windows RPC漏洞MS08-067,
Conficker,受到Conficker蠕虫感染
不愿透露姓名的regsvc DoS,一个拒绝服务漏洞,我意外地发现在Windows 2000
smbv2开发(cve-2009-3103微软安全公告975497)
ms06-025,Windows RAS RPC服务漏洞
ms07-029,Windows DNS服务器的RPC服务漏洞
关于Conficker的检查,客观依据是基于以下的Conficker蠕虫扫描
/净。CS。波恩大学。德 / / / WG CS应用 /含Conficker
3 Nmap扫描实例
此工具用于检测远程可疑来源的具体用途如下:
nmap的伪- T4 - p139445 - N - V -脚本SMB检查发现——vulns,SMB操作系统脚本参数安全= 1 targetnetworks } {
如:
nmap的伪- T4 - p139445 - N - V -脚本SMB检查发现——vulns,SMB操作系统脚本参数安全= 1 100.10.1 *。
为了方便,您可以将其导出到文件中:
nmap的伪- T4 - p139445 - N - V - scriptsmb检查vulns,SMB OS发现--脚本参数安全= 1 } { targetnetworks > nmap_result.log
从日志中查找关键字可以确定病毒源的位置。
hellip;
主持人172.30.160.22是(0.00s延迟)。
在172.30.160.22有趣的港口:
端口状态服务
139 / TCP开放NetBIOS SSN
445打开微软DS
MAC地址:00:e0:4c:1e:22:B8(realteksemiconductor)
主机脚本结果:
| SMB操作系统:Windows XP的发现
| LAN Manager:Windows 2000局域网管理器
|名称:工作组 wh013
| _系统时间:双语新闻17:10:57 UTC + 8
| SMB检查vulns:
| MS08-067:检查禁用(remove'safe = 1'argument运行)
| Conficker:未知没有窗,或用;禁用浏览器服务(清洁);或Windows崩溃browserservice(可能感染)。
如果你知道| |远程系统在Windows,重新启动和扫描
| | _再次。(errornt_status_object_name_not_found)
| _ regsvc DOS:检查禁用(添加的脚本参数=不安全= 1'to运行)
hellip;
主持人172.30.160.40是(0.00s延迟)。
在172.30.160.40有趣的港口:
端口状态服务
139 / TCP开放NetBIOS SSN
445打开微软DS
MAC地址:00:16:76:A8:d4:1f(英特尔)
主机脚本结果:
| SMB操作系统:Windows XP的发现
| LAN Manager:Windows 2000局域网管理器
|名称:szwh wh-asp-04
| _系统时间:双语新闻17:09:06 UTC + 8
| SMB检查vulns:
| MS08-067:检查禁用(remove'safe = 1'argument运行)
| Conficker:可能感染(由Conficker C或更低)
| _ regsvc DOS:检查禁用(添加的脚本参数=不安全= 1'to运行)
hellip;