1、 Downadup/Conficker

Conficker主要利用Windows操作系统MS08-067漏洞来传播,同时也能借助任何有USB接口的硬件设备来感染,在2008年被发现,并在微软的MS08-067补丁中被修复。但直到如今,仍有不少局域网中发现有Downadup蠕虫病毒感染,有些杀毒软件仍然不给力,无法找到病毒源头,导致在某些机器上不断地重复发现Downadup报告,但无法删除。

2 、Nmap脚本引擎smb-check-vulns.nse

Nmap提供了强大的脚本引擎(NSE),以支持通过Lua编程来扩展Nmap的功能。除了常见的主机发现、端口扫描等功能外,脚本引擎扩展了其他更加多样化的功能,如检查常见的漏洞信息以及本片文章提到的检查蠕虫感染功能。

smb-check-vulns脚本的介绍和源码下载可以在nmap.org官网上获得:

http://nmap.org/nsedoc/scripts/smb-check-vulns.html

smb-check-vulns脚本可以查看以下漏洞:

MS08-067, a Windows RPC vulnerability

Conficker, an infection by the Conficker worm

Unnamed regsvc DoS, a denial-of-service vulnerability I accidentally found in Windows 2000

SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)

MS06-025, a Windows Ras RPC service vulnerability

MS07-029, a Windows Dns Server RPC service vulnerability

其中关于Conficker的检查,mnap是基于以下的这个Conficker扫描器

http://net.cs.uni-bonn.de/wg/cs/applications/containing-conficker

3、 Nmap扫描实例

此工具用来检测远程可疑源的具体使用命令如下:

nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery--script-args safe=1 [targetnetworks]

如:

nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns, smb-os-discovery--script-args safe=1 100.10.1.*

方便起见,可以将其导出到一个文件中:

nmap -PN -T4 -p139,445 -n -v --scriptsmb-check-vulns,smb-os-discovery --script-args safe=1 [targetnetworks] >nmap_result.log

从日志里面找关键字,可以确定病毒源的位置。

Host 172.30.160.22 is up (0.00s latency).

Interesting ports on 172.30.160.22:

PORT STATE SERVICE

139/tcp open netbios-ssn

445/tcp open microsoft-ds

MAC Address: 00:E0:4C:1E:22:B8 (RealtekSemiconductor)

Host script results:

| smb-os-discovery: Windows XP

| LAN Manager: Windows 2000 LAN Manager

| Name: WORKGROUP\WH013

|_ System time: 2009-12-21 17:10:57 UTC+8

| smb-check-vulns:

| MS08-067: CHECK DISABLED (remove 'safe=1'argument to run)

| Conficker: UNKNOWN; not Windows, orWindows with disabled browser service (CLEAN); or Windows with crashed browserservice (possibly INFECTED).

| | If you know the remote system isWindows, try rebooting it and scanning

| |_ again. (ErrorNT_STATUS_OBJECT_NAME_NOT_FOUND)

|_ regsvc DoS: CHECK DISABLED (add'--script-args=unsafe=1' to run)

Host 172.30.160.40 is up (0.00s latency).

Interesting ports on 172.30.160.40:

PORT STATE SERVICE

139/tcp open netbios-ssn

445/tcp open microsoft-ds

MAC Address: 00:16:76:A8:D4:1F (Intel)

Host script results:

| smb-os-discovery: Windows XP

| LAN Manager: Windows 2000 LAN Manager

| Name: SZWH\WH-ASP-04

|_ System time: 2009-12-21 17:09:06 UTC+8

| smb-check-vulns:

| MS08-067: CHECK DISABLED (remove 'safe=1'argument to run)

| Conficker: Likely INFECTED (by Conficker.C or lower)

|_ regsvc DoS: CHECK DISABLED (add'--script-args=unsafe=1' to run)

http://www.9pc.cn/aq/2013/67.html

用Nmap工具查找Downadup/Conficker的蠕虫病毒源相关推荐

  1. Nessus漏洞扫描教程之使用Nmap工具扫描识别指纹

    Nessus漏洞扫描教程之使用Nmap工具扫描识别指纹 Nmap工具的准备工作 当用户对Nessus工具有清晰的认识后,即可使用该工具实施扫描.但是,在扫描之前需要做一些准备工作,如探测网络中活动的主 ...

  2. linux 查本机公网ip 网站接口 nmap工具

    网站接口 # 国内某网站的接口,只返回IP curl whatismyip.akamai.com# 更多用法访问ifconfig.co wget -qO - ifconfig.cocurl icanh ...

  3. 【短视频运营】查找对标账号 ( 关键词搜索 | 第三方工具查找 | 对标账号学习 | 视频文案 | #话题 | 评论内容 | 历史视频 )

    文章目录 一.关键词搜索 二.第三方工具查找 三.对标账号学习 1.视频文案 2.#话题 3.评论内容 4.历史视频 一.关键词搜索 准备 202020 个账号 垂直领域 相关的关键词 ; 如 : 音 ...

  4. 搭建微步蜜罐,启动通用OA系统仿真登陆蜜罐,使用awvs来去进行扫描通用OA系统仿真登陆蜜罐,nmap工具扫描搭建蜜罐的系统。

    (1) 运行版本HFish:docker run -itd --name hfish \ -v /usr/share/hfish:/usr/share/hfish \ --network host \ ...

  5. 使用kali系统中的nmap工具扫描漏洞

    如何使用kali系统中的nmap工具扫描网站漏洞 1.我们打开kali在终端输入nmap可以看到nmap工具的所有参数如下图2.现在我们来使用nmap工具中的这个nmap www.xxx.com命令来 ...

  6. 铨顺宏RFID工具跟踪管理系统,快速完成工具查找

    一.应用背景 RFID工具管理系统,快速完成工具查找!在各行各业中工具其实是一项重要不可或缺的资产.相关作业人员每天都要与工具打交道,怎么快捷便利的领用.归还,查找和保护这些工具,对企业管理来说是非常 ...

  7. linux下nmap工具的使用

    nmap NMap,也就是Network Mapper,是Linux下的网络扫描和嗅探工 具包,其基本功能有三个,一是探测一组主机是否在线:其次是扫描主机端口,嗅探所提供的网络服务:还可以推断主机所用 ...

  8. nmap工具介绍及常用命令

    1.功能介绍 nmap(network mapper),网络映射器,是kali内置的一款工具,是网络连扫描软件,用来扫描网上设备开放的网络连接端.确定哪些服务运行在哪些连接端,并且,推断设备使用什么系 ...

  9. chrome开发者工具_如何使用Chrome开发者工具查找性能瓶颈

    chrome开发者工具 介绍 (Introduction) As one advances through a software development career, concerns beyond ...

  10. nmap工具使用详解

    1.nmap的介绍 nmap是一个开源的免费的网络探测工具,可以用来探测存活主机以及开放的端口,支持window,Linux,mac等多种操作系统. nmap下载官网:http://nmap.org/ ...

最新文章

  1. 计算机视觉多目标检测整合算法
  2. 读书笔记——javascript闭包
  3. linux ubunt 安装软件的前期准备——更新源的更换
  4. java ajax无刷分页_asp.net+ajax+json来实现无刷新分页功能
  5. 《大话数据结构》第9章 排序 9.6 希尔排序(上)
  6. Database之SQLSever:SQLSever数据表管理(GUI法/SQL语句命令法两种方法实现建立表、修改表,以及增、删、改、查)之详细攻略
  7. Collection和Collections之间的使用与区别
  8. 用力和应变片计算弹性模量_实验力学实验讲义(08.9).doc
  9. LeetCode 1382. 将二叉搜索树变平衡(中序遍历+二分递归)
  10. 阿里数据架构师多年心得:IT从业者必看的数据仓库知识点
  11. 为什么我的Spring @Autowired字段为空?
  12. AX2012 R2安装
  13. LOJ10068(BZOJ1977)(Luogu4180)
  14. 浅论三维标注技术的重要性
  15. 传染病研究-非靶向下一代宏基因组测序(mNGS)分析
  16. IOS双重认证增加手机号
  17. php的md5(),php MD5加密详解
  18. 网上学python靠谱吗?
  19. 1、zstack协议栈
  20. 极简科普 1:什么是 VOIP

热门文章

  1. CTP的程序化交易系统开发
  2. ManoMotion⭐二、Unity手势识别插件简介,及效果录屏
  3. 「AutoML」AutoML专栏上线,跟Google一起见证调参党的末日?
  4. 新建word 无法切换输入法_为什么word文件中无法切换输入法?
  5. 【DB笔试面试1-100】
  6. 本人成功续费了。你的支付授权失败。请核对你的信息并重试,或尝试其他支付方式。请联系你的银行了。
  7. 前端工程师项目能力精选文章50篇
  8. blendshapes
  9. 基于SSM框架的狼途汽车门店管理系统的设计与实现
  10. 【ASP.NET】RSA加密,前端加密,后端解密,有效哦!