Vista la grande diffusione del
worm Conficker anche il leggedario
nmap distribuito dalla
insecure.org, il miglior port scanner in circolazione, offre il suo contributo per l’individuazione del worm e delle sue nuove varianti.
Nmapviene fornito in licenza GNU/GPL e quindi gratuito e redistributable… è
un potente analizzatore di rete, ottimo sia come strumento di attacco
che come strumento di difesa, utile per verificare quali servizi (o
demoni) siano attivi su una macchina. Grazie all’integrazione della
tecnica del
fingerprinting, è in grado anche di
stabilire quale OS giri sulla macchina controllata. Offre una vasta
scelta di tipi di scansione, (syn, tcp, con spoof dell’ip ecc…) qualità
che lo rendono indispensabile tra gli attrezzi dei cracker per poter
esaminare il bersaglio (target) senza destare sospetto, raccogliere
informazioni e decidere quale tecnica di attacco utilizzare.
La nuova versione beta 4.85, include anche l’
indentificazione di conficker,
in modo da individuare nella propria rete, macchine infette o a rischio
infezione conficker (ma se è a rischio, visto il vastissimo numero di
bot che scandaglia la rete alla ricerca di pc vulnerabili al bug di
ms08-067 al 99% sarà già infetta dal worm).
Nmap security scanner è disponibile per
Windows (nt,me,xp,vista),
Mac Os X (.dmg) e
Linux (rpm e binari per x86 e 64bit)… si può scaricare dal sito ufficiale
cliccando qui… scegliete la versione per il vostro OS e seguite le istruzioni.
Una volta installato aprite la shell dei comandi (per utenti linux e mac), prompt ms-dos (per utenti winzozz) e digitate:
nmap -PN -T4 -p139,445 -n -v –script=smb-check-vulns –script-args safe=1 [targetnetworks](sostituendo
[targetnetworks] con l’indirizzo ip del pc da controllare)
un esempio di output potrebbe essere questo:
Host 192.168.1.3 appears to be up … good.
Interesting ports on 192.168.1.3:
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-dsHost script results:
| smb-check-vulns:
| MS08-067: NOT RUN
| Conficker: Likely CLEAN
|_ regsvc DoS: NOT RUN (add –script-args=unsafe=1 to run)Pulito!
FONTE:http://ilarialab.com/2009/04/21/verificare-la-presenza-del-worm-conficker-con-nmap/