Tópicos Recentes

quarta-feira, 15 de abril de 2009

nmap versus conficker

Depois de horas de pesquisas achei o script no proprio site do nmap:

Resumindo:

$wget http://nmap.org/svn/scripts/smb-check-vulns.nse
$wget http://download.insecure.org/nmap-dist/nmap-4.85BETA1.tar.bz2
$tar -xjf nmap-4.85BETA1.tar.bz2
$cd nmap-4.85BETA5
$./configure
$make
$su
# make install

Para verificar a ação do conficker,estando no diretório onde está o arquivo "smb-check-vulns.nse" use o comando:

#nmap -PN T4 -p139,445 -n -v --script=smb-check-vulns.nse --script-args safe=1 [target network]

Ou individualmente por ip (host)

$nmap --script smb-check-vulns.nse -p445 <host>

#nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 <host>

Saida do comando: (maquina vulnerável).

Host script results:

| smb-check-vulns:
| MS08-067: FIXED
| Conficker: Likely INFECTED
|_ regsvc DoS: VULNERABLE

Exemplo de scan completo na rede:

#nmap -PN -p139,445 -n -v --script=smb-check-vulns.nse --script-args unsafe=1 192.168.1.1-255


Fontes:
Script smb-check-vulns.nse
http://nmap.org/nsedoc/scripts/smb-check-vulns.html

Dica em Ingles:
http://cgerada.blogspot.com/2009/04/using-nmap-to-scan-your-entire-network.html