• 如何偵測區網(Lan)有那些電腦中conficker簡單分享

    by  • 2009/09/23 • 病毒相關 • 3 Comments

    各位不知道有沒有這樣的經歷, 明明已經將整個LAN都掃過一遍了 ~

    微軟更新也都上了, 防毒軟體卻還是一直跳出 conficker 的警告, 一個

    區網裡如果電腦少還好, 上百台整個就暈倒了 ~~ 以下就跟各位簡單分

    享一下怎麼找出區網裡還有那些漏網之魚 ~~

    首先在Linux的系統中安裝 nmap,

    安裝方式可以用 yum , rpm , tarball 的方式 ~~

    nmap 下載頁面 http://nmap.org/download.html

    1> yum
    #yum install nmap

    2> source rpm 我是用這一個方式 ~~
    # rpm -ivh nmap-5.00-1.src.rpm
    # cd /usr/src/redhat/SPEC
    # rpmbuild -bb nmap-5.00-1.spec
    # cd /usr/src/redhat/RPMS/i386/
    # rpm Uvh ncat-5.00-1.i386.rpm nmap-5.00-1.i386.rpm nmap-debuginfo-5.00-1.i386.rpm
    這樣就安裝好了 ~~

    3> tarball 就請到nmap官網看囉 ~~

    nmap 安裝好以後呢, 還要下載一個偵測conficker的script ~~
    為 smb-check-vulns, 下載頁面如下

    http://nmap.org/nsedoc/scripts/smb-check-vulns.html

    下載下來後呢 ~~ 就可以開始偵測囉 ~~ 指令如下 :

    #nmap -PN -T4 -p 139,445 -n -v –script=smb-check-vulns –script-args=unsafe=1 192.168.0.0/24

    192.168.0.0/24 是你所在的網段喔 ~~ 就可以看到如以下的畫面

    nmapconficker001.jpg

    這樣就開始掃瞄囉 ~~掃瞄完以後呢 ~~ 就開始看紀錄有那些可疑的 ~~

    如下 :

    nmapconficker002.jpg

    以上這圖, 在 Host 後面的 IP 就是可能中毒的機器 ~

    紅色框框裡有提到可能是 Conficker.C or 更低版本的 Conficker 蠕蟲 ~

    這樣就可以針對這台機器進行的微軟的更新及掃毒的動作 ~~

    掃過後, 整個區域網路裡的電腦就沒有再出現過 conficker 的警告了 ~