• 如何偵測區網(Lan)有那些電腦中conficker簡單分享

    by  • 2009/09/23 • 病毒相關 • 3 Comments

    各位不知道有沒有這樣的經歷, 明明已經將整個LAN都掃過一遍了 ~

    微軟更新也都上了, 防毒軟體卻還是一直跳出 conficker 的警告, 一個

    區網裡如果電腦少還好, 上百台整個就暈倒了 ~~ 以下就跟各位簡單分

    享一下怎麼找出區網裡還有那些漏網之魚 ~~

    首先在Linux的系統中安裝 nmap,

    安裝方式可以用 yum , rpm , tarball 的方式 ~~

    nmap 下載頁面 http://nmap.org/download.html

    1> yum
    #yum install nmap

    2> source rpm 我是用這一個方式 ~~
    # rpm -ivh nmap-5.00-1.src.rpm
    # cd /usr/src/redhat/SPEC
    # rpmbuild -bb nmap-5.00-1.spec
    # cd /usr/src/redhat/RPMS/i386/
    # rpm Uvh ncat-5.00-1.i386.rpm nmap-5.00-1.i386.rpm nmap-debuginfo-5.00-1.i386.rpm
    這樣就安裝好了 ~~

    3> tarball 就請到nmap官網看囉 ~~

    nmap 安裝好以後呢, 還要下載一個偵測conficker的script ~~
    為 smb-check-vulns, 下載頁面如下

    http://nmap.org/nsedoc/scripts/smb-check-vulns.html

    下載下來後呢 ~~ 就可以開始偵測囉 ~~ 指令如下 :

    #nmap -PN -T4 -p 139,445 -n -v –script=smb-check-vulns –script-args=unsafe=1 192.168.0.0/24

    192.168.0.0/24 是你所在的網段喔 ~~ 就可以看到如以下的畫面

    nmapconficker001.jpg

    這樣就開始掃瞄囉 ~~掃瞄完以後呢 ~~ 就開始看紀錄有那些可疑的 ~~

    如下 :

    nmapconficker002.jpg

    以上這圖, 在 Host 後面的 IP 就是可能中毒的機器 ~

    紅色框框裡有提到可能是 Conficker.C or 更低版本的 Conficker 蠕蟲 ~

    這樣就可以針對這台機器進行的微軟的更新及掃毒的動作 ~~

    掃過後, 整個區域網路裡的電腦就沒有再出現過 conficker 的警告了 ~

    • 電腦多要抓兇手時是超麻煩的說! 😉

    • @拆組達人
      是呀 ~~ 很難搞~~

    • 蟑螂

      (轉)

      各位中了蠕蟲的人

      微軟.各大防毒軟體網站進不去該怎麼辦?

      提供一個掃毒的程式

      http://www.eyny.com/viewthread.php?tid=3022047

      這位大大從諾頓抓下來

      再放到自己的載點

      很棒的軟體!

      我用過之後 蠕蟲就不見了

      說明:下載好後

      把FIX 解壓縮 需密碼

      好了之後把FIX打開

      按 I ACCEPT

      在按START

      就開始掃了

      掃完會重新開機 再去微軟的網站 看看是不是可以進去了