搜索

热门标签:

移动安全安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 安全管理 >

操纵Nmap东西查找Downadup/Conficker蠕虫病毒源

时间:2013-05-17 10:24来源:TuZhiJiaMi企业信息安全专家 点击:
1、 Downadup/Conficker Conficker首要操纵Windows把持系统MS08-067缝隙来传播,同时也能借助任何有USB接口的硬件设备来传染,在2008年被发现,并在微软的MS08-067补丁中被修复。但直到此刻,仍有良多局
Tags安全管理(325)蠕虫病毒(6)Nmap(1)Conficker(1)Downadup(1)  

  1、 Downadup/Conficker

  Conficker首要操纵Windows把持系统MS08-067缝隙来传播,同时也能借助任何有USB接口的硬件设备来传染,在2008年被发现,并在微软的MS08-067补丁中被修复。但直到此刻,仍有良多局域网中发现有Downadup蠕虫病毒传染,有些杀毒软件仍然不给力,没法找到病毒泉源,导致在某些机械上不竭地反复发现Downadup陈述,但没法删除。

  2 、Nmap脚本引擎smb-check-vulns.nse

  Nmap供给了强大年夜的脚本引擎(NSE),以撑持经由过程Lua编程来扩大Nmap的功能。除常见的主机发现、端口扫描等功能外,脚本引擎扩大了其他加倍多样化的功能,如查抄常见的缝隙信息和本片文章提到的查抄蠕虫传染功能。

  smb-check-vulns脚本的介绍和源码下载可以在nmap.org官网上获得:

  http://nmap.org/nsedoc/scripts/smb-check-vulns.html

  smb-check-vulns脚本可以查看以下缝隙:

  MS08-067, a Windows RPC vulnerability

  Conficker, an infection by the Conficker worm

  Unnamed regsvc DoS, a denial-of-service vulnerability I accidentally found in Windows 2000

  SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)

  MS06-025, a Windows Ras RPC service vulnerability

  MS07-029, a Windows Dns Server RPC service vulnerability

  此中关于Conficker的查抄,mnap是基于以下的这个Conficker扫描器

  http://net.cs.uni-bonn.de/wg/cs/applications/containing-conficker

  3、 Nmap扫描实例

  此东西用来检测长途可疑源的具体利用号令以下:

  nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery--script-args safe=1 [targetnetworks]

  如:

  nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns, smb-os-discovery--script-args safe=1 100.10.1.*

  便利起见,可以将其导出到一个文件中:

  nmap -PN -T4 -p139,445 -n -v --scriptsmb-check-vulns,smb-os-discovery --script-args safe=1 [targetnetworks] >nmap_result.log

  从日记里面找关头字,可以肯定病毒源的位置。

  …

  Host 172.30.160.22 is up (0.00s latency).

  Interesting ports on 172.30.160.22:

  PORT STATE SERVICE

  139/tcp open netbios-ssn

  445/tcp open microsoft-ds

  MAC Address: 00:E0:4C:1E:22:B8 (RealtekSemiconductor)

  Host script results:

  | smb-os-discovery: Windows XP

  | LAN Manager: Windows 2000 LAN Manager

  | Name: WORKGROUP\WH013

  |_ System time: 2009-12-21 17:10:57 UTC+8

  | smb-check-vulns:

  | MS08-067: CHECK DISABLED (remove 'safe=1'argument to run)

  | Conficker: UNKNOWN; not Windows, orWindows with disabled browser service (CLEAN); or Windows with crashed browserservice (possibly INFECTED).

  | | If you know the remote system isWindows, try rebooting it and scanning

  | |_ again. (ErrorNT_STATUS_OBJECT_NAME_NOT_FOUND)

  |_ regsvc DoS: CHECK DISABLED (add'--script-args=unsafe=1' to run)

  …

  Host 172.30.160.40 is up (0.00s latency).

  Interesting ports on 172.30.160.40:

  PORT STATE SERVICE

  139/tcp open netbios-ssn

  445/tcp open microsoft-ds

  MAC Address: 00:16:76:A8:D4:1F (Intel)

  Host script results:

  | smb-os-discovery: Windows XP

  | LAN Manager: Windows 2000 LAN Manager

  | Name: SZWH\WH-ASP-04

相关文章
------分隔线----------------------------

推荐内容
热点内容