No dia 1o. abril todas as midias estavam focadas em um único assunto relacionado a redes e internet. Todo o planeta estava em alerta por causa da ação de um worm chamado Conficker.
No Slashdot e em todos os sites especializados no assunto segurança da informação surgiam a cada momento novos posts sobre este o worm,.
Isto me lembra muito cerca de 09 anos atrás um worm devastador chamado Sircam, esse cara fez um estrago imenso na rede Petrobrás onde eu trabalhava na época.
Porém como não poderia deixar ser Fyodor e sua trupe criaram uma nova feature no NMAP. Esta feature permite scanear uma rede a procura por hosts infectados com o worm Conficker. .
Para isso digite o seguinte comando:
nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args safe=1 [Rede_Alvo]
Se a máquina estiver limpa surgirá o aviso: Conficker: Likely CLEAN, senão surigirá Conficker: Likely INFECTED
Divirtam-se!!!
Lembrando que o nmap deve ser o mais atual, dos que estão no controle de versão da insecure.
Fala Coringão!
To rodando 8.10
baixei o fonte da versão 4.85BETA5 e compilei.
acontece que não tenho o output do script check-vulns mas somente do os-discovery…. Você pode ajudar?
pierre@ubuntu:/usr/local/bin$ sudo nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args safe=1 10.1.63.32
Starting Nmap 4.85BETA5 ( http://nmap.org ) at 2009-04-03 11:04 BRT
Initiating SYN Stealth Scan at 11:04
Scanning 10.1.63.32 [2 ports]
Discovered open port 445/tcp on 10.1.63.32
Discovered open port 139/tcp on 10.1.63.32
Completed SYN Stealth Scan at 11:04, 0.00s elapsed (2 total ports)
NSE: Initiating script scanning.
Initiating NSE at 11:04
Completed NSE at 11:04, 1.01s elapsed
Initiating NSE at 11:04
Completed NSE at 11:04, 1.01s elapsed
Host 10.1.63.32 appears to be up … good.
Interesting ports on 10.1.63.32:
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Host script results:
| smb-os-discovery: Windows 2000
| LAN Manager: Windows 2000 LAN Manager
| Name: meudominiomaq198841
|_ System time: 2009-04-03 11:04:30 UTC-3
Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 2.15 seconds
Raw packets sent: 2 (88B) | Rcvd: 2 (88B)
pierre@ubuntu:/usr/local/bin$
Hehehe lembro bem desse estrago do Sircam na rede Petrobras porque nessa época eu tb estava lá e ralei muito por causa dessa praga. Até hoje esse episódio é referencia pra mim dos danos que pragas virtuais podem causar.
abraço.
Alex meu patrão
Acho que voce esqueceu de citar em relação a versão do nmap que deve ser a mais atualizada.
E um detalhe na hora de copiar/colar a sintaxe do comando. Antes das duas ocorrencias da palavra script tem um [-] mais na verdade tem que ser [- -] .
No mais, um abraço por trás
[…] do Ubuntu Intrepid Ibex 8.10Instalando a Atheros AR5007EG no Ubuntu Feisty usando ndiswrapperLocalizando máquinas infectadas com o worm ConfickerUsando o Google como ferramenta hacker – Parte 1Instalando o Qmail no Debian LennyCompilando o […]