用Nmap工具查找Downadup/Conficker的蠕虫病毒源
1、 Downadup/Conficker
Conficker主要利用Windows操作系统MS08-067漏洞来传播,同时也能借助任何有USB接口的硬件设备来感染,在2008年被发现,并在微软的MS08-067补丁中被修复。但直到如今,仍有不少局域网中发现有Downadup蠕虫病毒感染,有些杀毒软件仍然不给力,无法找到病毒源头,导致在某些机器上不断地重复发现Downadup报告,但无法删除。
2 、Nmap脚本引擎smb-check-vulns.nse
Nmap提供了强大的脚本引擎(NSE),以支持通过Lua编程来扩展Nmap的功能。除了常见的主机发现、端口扫描等功能外,脚本引擎扩展了其他更加多样化的功能,如检查常见的漏洞信息以及本片文章提到的检查蠕虫感染功能。
smb-check-vulns脚本的介绍和源码下载可以在nmap.org官网上获得:
http://nmap.org/nsedoc/scripts/smb-check-vulns.html
smb-check-vulns脚本可以查看以下漏洞:
MS08-067, a Windows RPC vulnerability
Conficker, an infection by the Conficker worm
Unnamed regsvc DoS, a denial-of-service vulnerability I accidentally found in Windows 2000
SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
MS06-025, a Windows Ras RPC service vulnerability
MS07-029, a Windows Dns Server RPC service vulnerability
其中关于Conficker的检查,mnap是基于以下的这个Conficker扫描器
http://net.cs.uni-bonn.de/wg/cs/applications/containing-conficker
3、 Nmap扫描实例
此工具用来检测远程可疑源的具体使用命令如下:
nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery--script-args safe=1 [targetnetworks]
如:
nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns, smb-os-discovery--script-args safe=1 100.10.1.*
方便起见,可以将其导出到一个文件中:
nmap -PN -T4 -p139,445 -n -v --scriptsmb-check-vulns,smb-os-discovery --script-args safe=1 [targetnetworks] >nmap_result.log
从日志里面找关键字,可以确定病毒源的位置。
…
Host 172.30.160.22 is up (0.00s latency).
Interesting ports on 172.30.160.22:
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
MAC Address: 00:E0:4C:1E:22:B8 (RealtekSemiconductor)
Host script results:
| smb-os-discovery: Windows XP
| LAN Manager: Windows 2000 LAN Manager
| Name: WORKGROUP\WH013
|_ System time: 2009-12-21 17:10:57 UTC+8
| smb-check-vulns:
| MS08-067: CHECK DISABLED (remove 'safe=1'argument to run)
| Conficker: UNKNOWN; not Windows, orWindows with disabled browser service (CLEAN); or Windows with crashed browserservice (possibly INFECTED).
| | If you know the remote system isWindows, try rebooting it and scanning
| |_ again. (ErrorNT_STATUS_OBJECT_NAME_NOT_FOUND)
|_ regsvc DoS: CHECK DISABLED (add'--script-args=unsafe=1' to run)
…
Host 172.30.160.40 is up (0.00s latency).
Interesting ports on 172.30.160.40:
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
MAC Address: 00:16:76:A8:D4:1F (Intel)
Host script results:
| smb-os-discovery: Windows XP
| LAN Manager: Windows 2000 LAN Manager
| Name: SZWH\WH-ASP-04
|_ System time: 2009-12-21 17:09:06 UTC+8
| smb-check-vulns:
| MS08-067: CHECK DISABLED (remove 'safe=1'argument to run)
| Conficker: Likely INFECTED (by Conficker.C or lower)
|_ regsvc DoS: CHECK DISABLED (add'--script-args=unsafe=1' to run)
用Nmap工具查找Downadup/Conficker的蠕虫病毒源相关推荐
- Nessus漏洞扫描教程之使用Nmap工具扫描识别指纹
Nessus漏洞扫描教程之使用Nmap工具扫描识别指纹 Nmap工具的准备工作 当用户对Nessus工具有清晰的认识后,即可使用该工具实施扫描.但是,在扫描之前需要做一些准备工作,如探测网络中活动的主 ...
- linux 查本机公网ip 网站接口 nmap工具
网站接口 # 国内某网站的接口,只返回IP curl whatismyip.akamai.com# 更多用法访问ifconfig.co wget -qO - ifconfig.cocurl icanh ...
- 【短视频运营】查找对标账号 ( 关键词搜索 | 第三方工具查找 | 对标账号学习 | 视频文案 | #话题 | 评论内容 | 历史视频 )
文章目录 一.关键词搜索 二.第三方工具查找 三.对标账号学习 1.视频文案 2.#话题 3.评论内容 4.历史视频 一.关键词搜索 准备 202020 个账号 垂直领域 相关的关键词 ; 如 : 音 ...
- 搭建微步蜜罐,启动通用OA系统仿真登陆蜜罐,使用awvs来去进行扫描通用OA系统仿真登陆蜜罐,nmap工具扫描搭建蜜罐的系统。
(1) 运行版本HFish:docker run -itd --name hfish \ -v /usr/share/hfish:/usr/share/hfish \ --network host \ ...
- 使用kali系统中的nmap工具扫描漏洞
如何使用kali系统中的nmap工具扫描网站漏洞 1.我们打开kali在终端输入nmap可以看到nmap工具的所有参数如下图2.现在我们来使用nmap工具中的这个nmap www.xxx.com命令来 ...
- 铨顺宏RFID工具跟踪管理系统,快速完成工具查找
一.应用背景 RFID工具管理系统,快速完成工具查找!在各行各业中工具其实是一项重要不可或缺的资产.相关作业人员每天都要与工具打交道,怎么快捷便利的领用.归还,查找和保护这些工具,对企业管理来说是非常 ...
- linux下nmap工具的使用
nmap NMap,也就是Network Mapper,是Linux下的网络扫描和嗅探工 具包,其基本功能有三个,一是探测一组主机是否在线:其次是扫描主机端口,嗅探所提供的网络服务:还可以推断主机所用 ...
- nmap工具介绍及常用命令
1.功能介绍 nmap(network mapper),网络映射器,是kali内置的一款工具,是网络连扫描软件,用来扫描网上设备开放的网络连接端.确定哪些服务运行在哪些连接端,并且,推断设备使用什么系 ...
- chrome开发者工具_如何使用Chrome开发者工具查找性能瓶颈
chrome开发者工具 介绍 (Introduction) As one advances through a software development career, concerns beyond ...
- nmap工具使用详解
1.nmap的介绍 nmap是一个开源的免费的网络探测工具,可以用来探测存活主机以及开放的端口,支持window,Linux,mac等多种操作系统. nmap下载官网:http://nmap.org/ ...
最新文章
- 计算机视觉多目标检测整合算法
- 读书笔记——javascript闭包
- linux ubunt 安装软件的前期准备——更新源的更换
- java ajax无刷分页_asp.net+ajax+json来实现无刷新分页功能
- 《大话数据结构》第9章 排序 9.6 希尔排序(上)
- Database之SQLSever:SQLSever数据表管理(GUI法/SQL语句命令法两种方法实现建立表、修改表,以及增、删、改、查)之详细攻略
- Collection和Collections之间的使用与区别
- 用力和应变片计算弹性模量_实验力学实验讲义(08.9).doc
- LeetCode 1382. 将二叉搜索树变平衡(中序遍历+二分递归)
- 阿里数据架构师多年心得:IT从业者必看的数据仓库知识点
- 为什么我的Spring @Autowired字段为空?
- AX2012 R2安装
- LOJ10068(BZOJ1977)(Luogu4180)
- 浅论三维标注技术的重要性
- 传染病研究-非靶向下一代宏基因组测序(mNGS)分析
- IOS双重认证增加手机号
- php的md5(),php MD5加密详解
- 网上学python靠谱吗?
- 1、zstack协议栈
- 极简科普 1:什么是 VOIP