Nmap 4.85BETA5 - Conficker detektálással; Egyéb Conficker detektáló tool-ok

Úgy tűnik, hogy a Conficker téma több figyelmet kapott az április 1-i dátum közeledtével, mert olyan emberek szívódtak rá a detektálására, mint Dan Kaminsky, vagy éppen az Nmap-ról ismert Fyodor. Dan Kaminsky blogjában - Felix Leder, Tillmann Werner munkája nyomán - Conficker detektálásra alkalmas eszközöket tett közzé, az Nmap-os Fyodor pedig bejelentette az Nmap 4.85BETA5-öt, amely már szintén rendelkezik olyan képességgel, amellyel Conficker-gyanús hostokat ellenőrizhetünk a hálózatunkon. Aki nem biztos a hálózatában, annak itt az ideje nekiesni a stuffokkal...

Hozzászólások

Az előbb néztem, de akkor még nem volt letölthető a Nmap 4.85BETA5. Viszont letölthető a BETA4, aminek a telepítés után a könyvtárába bemásolva a ezt (Dan Kaminsky-től) gyakorlatilag felruházódik a Conficker detektálás képességgel. Kipróbáltam.

--
trey @ gépház

Kiváncsi leszek pár általam ismert cégre, hogy holnap hogy dől romba a hálózat ha ez tényleg valódi támadás lesz. Vírusírtó minek, meg amúgy is pénzért? ne viccelj már. Jó a 30 napos trial ami lejárt 3 hónapja.

--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.

Jó a 30 napos trial ami lejárt 3 hónapja

Az is szigorúan fájlcserélőről leszedve, crackelt/keygenes változatban. A hozzá csomagolt trójai/keylogger stb. a meglepi. (saját tapasztalat)

--------------------------------------------------------------
"Tegnap reggel addig röhögtünk a főnök viccén, míg ki nem derült, hogy az a napi feladat."

nmap -PN -d -p 445 --script=smb-check-vulns --script-args=safe=1 <ipcím>

Erre lefut az ellenőrzés és valami ilyesmi lesz a végén:


Host script results:
|  smb-check-vulns:
|  MS08-067: NOT RUN
|  Connficker: Likely CLEAN
|_ regsvc DoS: NOT RUN

vagy:

nmap -PN -d -p 445 --script=smb-check-vulns --script-args=unsafe=1 <ipcím>

Host script results:
|  smb-check-vulns:
|  MS08-067: FIXED
|  Connficker: Likely CLEAN
|_ regsvc DoS: ERROR: NT_STATUS_ACCESS_DENIED

--
trey @ gépház

Köszi!

Nálam ez volt a file szerveremen:

Host script results:
| smb-check-vulns:
| MS08-067: ERROR: SMB: ERROR: Ran off the end of SMB packet; likely due to server truncation [12]
| MS08-067: FIXED
| Connficker: ERROR: SMB: ERROR: Ran off the end of SMB packet; likely due to server truncation [12]
|_ regsvc DoS: ERROR: SMB: ERROR: Ran off the end of SMB packet; likely due to server truncation [12]

"#define QUESTION ((bb) || !(bb)) /* (c) written by W. Shakespeare. */