nmap versus conficker [RESOLVIDO] [Redes]

1. nmap versus conficker [RESOLVIDO]

Enviado em 06/05/2009 - 15:15h

Alguém tem algum script ou linha de comando que, usando o nmap, possa detectar a ação do virus conficker numa rede?

Esse virus, apesar de ser para windows, afeta a rede em geral, sobrecarregando-a de modo a ficar praticamente impossivel navegar.

Abaixo o Teste on-line (win) que de acordo com as imagens que não aparecerem revela o tipo do conficker em sua maquina.
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

2. Re: nmap versus conficker [RESOLVIDO]

Melhor resposta

Enviado em 09/05/2009 - 19:15h

Depois de horas de pesquisas achei o script no proprio site do nmap:

Resumindo:
$wget http://nmap.org/svn/scripts/smb-check-vulns.nse
$wget http://download.insecure.org/nmap-dist/nmap-4.85BETA1.tar.bz2
$tar -xjf nmap-4.85BETA1.tar.bz2
$cd nmap-4.85BETA5
$./configure
$make
$su
# make install

Para verificar a ação do conficker,estando no diretório onde está o arquivo "smb-check-vulns.nse" use o comando:

#nmap -PN T4 -p139,445 -n -v --script=smb-check-vulns.nse --script-args safe=1 [target network]

ou individualmente por ip (host)
$nmap --script smb-check-vulns.nse -p445 <host>
#nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 <host>

Saida do comando:

Host script results:
| smb-check-vulns:
| MS08-067: FIXED
| Conficker: Likely INFECTED
|_ regsvc DoS: VULNERABLE

Exemplo de scan completo na rede:
#nmap -PN -p139,445 -n -v --script=smb-check-vulns.nse --script-args unsafe=1 192.168.1.1-255

Fontes:

Script smb-check-vulns.nse
http://nmap.org/nsedoc/scripts/smb-check-vulns.html

Dica em Ingles:
http://cgerada.blogspot.com/2009/04/using-nmap-to-scan-your-entire-network.html

3. Re: nmap versus conficker [RESOLVIDO]

Enviado em 06/05/2009 - 15:22h

O problema é que ele faz conexões em muitas portas e destinos,ai fica difícil saber o que monitorar. Também gostaria de saber o que olhar.

4. Re: nmap versus conficker [RESOLVIDO]

Enviado em 06/05/2009 - 17:14h

O snort poderia fazer isso melhor, não? Por ele ser um IDS...

5. Re: nmap versus conficker [RESOLVIDO]

Enviado em 04/08/2009 - 14:03h

boa klebrr, fiz o mesmo procedimento que vc comentou e ajudou bastante...

vlw!

6. Erro

Enviado em 16/12/2009 - 15:18h

Ta Faltando que pacote?

....
Initiating SYN Stealth Scan at 15:16
Scanning 10.1.100.254 [2 ports]
Discovered open port 445/tcp on 10.1.100.254
Discovered open port 139/tcp on 10.1.100.254
Completed SYN Stealth Scan at 15:16, 0.00s elapsed (2 total ports)
SCRIPT ENGINE: Initiating script scanning.
LUA INTERPRETER in nse_init.cc:763: ./smb-check-vulns.nse:86: module 'msrpc' not found:
no field package.preload['msrpc']
no file '/usr/share/nmap/nselib/msrpc.lua'
no file './msrpc.lua'
no file '/usr/local/share/lua/5.1/msrpc.lua'
no file '/usr/local/share/lua/5.1/msrpc/init.lua'
no file '/usr/local/lib/lua/5.1/msrpc.lua'
no file '/usr/local/lib/lua/5.1/msrpc/init.lua'
no file '/usr/lib/nmap/nselib-bin/msrpc.so'
no file './msrpc.so'
no file '/usr/local/lib/lua/5.1/msrpc.so'
no file '/usr/local/lib/lua/5.1/loadall.so'
SCRIPT ENGINE: Aborting script scan.

....

7. Erro (Debian)

Enviado em 16/12/2009 - 15:43h

-- vc instalou o nmap mais recente?
-- verifique com o comando:
# nmap -v

Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-16 14:37 AMT
NSE: Loaded 0 scripts for scanning.
Read data files from: /usr/share/nmap

--Note que já tem disponivel a versão 5.0
esse script só funciona com o Nmap 4.85BETA7 (ou maior).
ver aqui >>http://insecure.org/#conficker

-- Verifique tb se o LUA (5.1) que é uma linguagem de programação interpretada está instalado.
use o Synaptic para procurar e instalar "lua"

nmap versus conficker [RESOLVIDO]

Responder tópico