各位不知道有沒有這樣的經歷, 明明已經將整個LAN都掃過一遍了 ~

微軟更新也都上了, 防毒軟體卻還是一直跳出 conficker 的警告, 一個

區網裡如果電腦少還好, 上百台整個就暈倒了 ~~ 以下就跟各位簡單分

享一下怎麼找出區網裡還有那些漏網之魚 ~~

首先在Linux的系統中安裝 nmap,

安裝方式可以用 yum , rpm , tarball 的方式 ~~

nmap 下載頁面 http://nmap.org/download.html

1> yum
#yum install nmap

2> source rpm 我是用這一個方式 ~~
# rpm -ivh nmap-5.00-1.src.rpm
# cd /usr/src/redhat/SPEC
# rpmbuild -bb nmap-5.00-1.spec
# cd /usr/src/redhat/RPMS/i386/
# rpm Uvh ncat-5.00-1.i386.rpm nmap-5.00-1.i386.rpm nmap-debuginfo-5.00-1.i386.rpm
這樣就安裝好了 ~~

3> tarball 就請到nmap官網看囉 ~~

nmap 安裝好以後呢, 還要下載一個偵測conficker的script ~~
為 smb-check-vulns, 下載頁面如下

http://nmap.org/nsedoc/scripts/smb-check-vulns.html

下載下來後呢 ~~ 就可以開始偵測囉 ~~ 指令如下 :

#nmap -PN -T4 -p 139,445 -n -v –script=smb-check-vulns –script-args=unsafe=1 192.168.0.0/24

192.168.0.0/24 是你所在的網段喔 ~~ 就可以看到如以下的畫面

這樣就開始掃瞄囉 ~~掃瞄完以後呢 ~~ 就開始看紀錄有那些可疑的 ~~

如下 :

以上這圖, 在 Host 後面的 IP 就是可能中毒的機器 ~

紅色框框裡有提到可能是 Conficker.C or 更低版本的 Conficker 蠕蟲 ~

這樣就可以針對這台機器進行的微軟的更新及掃毒的動作 ~~

掃過後, 整個區域網路裡的電腦就沒有再出現過 conficker 的警告了 ~