Syslogs » Nmap ile Conficker Tespiti

Ana Sayfa » *nix » Nmap ile Conficker Tespiti

31 Mart 2009 tarihinde Çağrı Ersen tarafından yayınlandı. | | Translate to English

Nmap ile Conficker Tespiti

(Toplam 1 oy. 5 puan üzerinden ortalama 5,00 || Oy vererek siz de katkıda bulunabilirsiniz.)

Warning: mysqli_query(): (HY000/3): Error writing file '/tmp/MY00wjVI' (Errcode: 28 - No space left on device) in /usr/share/nginx/html/syslogs/wp-includes/class-wpdb.php on line 2349

Nmap'in yeni sürümü (nmap-4.85BETA5) , conficker solucanını tespit edebiliyor. Bilindiği gibi solucanın 1 Nisan 2009 tarihinde yeniden aktive olacağı söylenmekte. Bu nedenle kontrollerinizi yapmanız yararınızadır.

Aşağıdaki komutu kullanarak kontrol yapabilirsiniz.

# nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 IP_ADDRS

Not: IP_ADDR yerine 192.168.1.0/24 gibi bir class belirtebilirsiniz. Bu şekilde ilgili ip networkündeki tüm makineler taranacaktır. Komutun sonuna > /sonuc.txt gibi bir ifade eklerseniz de çıktılar /sonuc.txt dosyasına yazılacaktır.

Temiz bir host için alacağınız sonuç aşağıdaki gibidir.

Host script results:
|  smb-check-vulns:
|  MS08-067: NOT RUN
|  conficker: Likely CLEAN

Eğer taradığınız sunucuda solucanın bulunması durumunda sonuç şu şekilde görünür.

Host script results:
| smb-check-vulns:
| MS08-067: NOT RUN
| conficker: Likely INFECTED

Not: MS08-067: NOT RUN ifadesi, ilgili patch'in kontrol edilmediğini belirtir. Bunun nedeni komutta –script-args safe=1 ifadesini kullanmızdan kaynaklanmaktadır. Eğer sisteminizde MS08-067 patch'i yüklü değilse, patch kontrolü yapmak sistemin crash etmesine neden olabilir. Bu nedenle safe=1 diyerek bu kontrolü geçiyoruz. Zaten patch geçilmiş durumda ise, sonuç olarak Likely CLEAN verilecektir. Eğer INFECTED sonucunu alıyorsanız, bu durum aynı zamanda ilgili patch'in geçilmemiş olduğunu da göstermiş olur.

Nmap'i Windows üzerinde ya da *nix tabanlı işletim sistemlerinde çalıştırmanız mümkün. http://nmap.org/download.html adresinden download edebilir ve kolayca sisteminiz yükleyip networkünüzü tarayabilirsiniz.

Update (01.04.2009 – 10:22): Nmap'in yeni sürümü (nmap-4.85BETA6) biraz önce duyuruldu. Sisteminizdeki nmap'i update etmeniz önerilir.

# svn co --username guest --password "" svn://svn.insecure.org/nmap/

Komutu ile yeni sürümü download edebilirsiniz. Sonrasında herzamanki kurulum prosedürünü (./configure &amp& make &amp& make install) uygulayarak update edebilirsiniz.

Kaynaklar:

http://nmap.org/nsedoc/scripts/smb-check-vulns.html

http://www.net-security.org/secworld.php?id=7252

Visited 212 times, 1 visit(s) today