Scanner un réseau pour trouver les machines infectées avec Conficker
Par Korben | Nb visites : 383
Si vous êtes administrateur réseau, vous être peut être en guerre en ce moment contre le virus / malware Conficker (alias Downadup… En ce qui me concerne, je n’ai pas trop suivi l’affaire car je ne suis pas concerné mais j’ai trouvé cette petite astuce pour détecter en utilisant nmap, le ver au sein des ordinateur de votre réseau…
Bon, déjà il vous faut nmap donc si c’est pas installé directement sur votre distrib (linux), vous pouvez passer par svn :
svn co –username=guest –password= » svn://svn.insecure.org/nmap
cd nmap
./configure && make
sudo make install
Une fois que vous avez installé nmap, il suffit alors de lancer la commande suivant qui générera un rapport des machines infectés :
nmap -PN -d -p445 –script=smb-check-vulns –script-args=safe=1 xxx.xxx.xxx.zzz-zzz >> conficker_scan.txt
Et ensuite, il ne reste plus qu’à faire le tri dans les machines…
D’abord les machines infectées :
grep -B 7 -A 4 INFECTED conficker_scan.txt >> infected_machines.txt
Ensuite les machines vulnérables :
grep -B 8 -A 3 VULNERABLE conficker_scan.txt >> vulnerable_machines.txt
Ouvrez ensuite les fichiers pour connaitre les ips des machines concernées… Pour vous lancer ensuite dans un nettoyage des bestioles, vous pouvez utiliser les outils mis à dispo par Microsoft ou Symantec ou encore suivre ce tuto (en anglais)
Bon courage !
[photo]
Je vous recommande aussi la lecture des sujets suivants
- Depant – Pour trouver les machines avec un mot de passe par défaut
- Accélérez jusqu’à 26 fois l’installation de vos paquets Ubuntu avec apt-fast
- Nmap dans Die Hard 4
- Comment lire un BluRay sous Linux
- Comment se connecter à un réseau Wifi en ligne de commande sous Linux
- Le gouvernement propose un moyen de contourner Hadopi – Wouhou !
- Installer Linux sur PlayStation 3
- Nouvelle version de Nmap 4.50 et sa nouvelle interface ZenMap
- Un Planet libre – BilboPlanet
- Un vers dans Facebook
Sauker
je ne savais pas qu’il y avait des virus sur linux! (ohh l’inculte!)
Posté le 2 avril 2009 à 10:01:24
Cyril Pradel
Merci pour l’info, très utile !
Posté le 2 avril 2009 à 10:01:30
Flow
@Sauker: Conficker n’est pas un malware Linux, mais un qui touche la famille Windows. De 2000 à Seven en passant par les Server 2003 / 2008. (cf. FWI la page Wikipedia dont Korben donne le lien dans son post)
Mais l’astuce de Korben fonctionne sous Linux (entre autres).
Autre chose, j’ai testé ça sur Leopard (dans un réseau Microsoft, bien sur) sans succès pour le moment, j’ai du mal a lui faire manger la range-ip j’ai l’impression.
Posté le 2 avril 2009 à 10:35:44
Sauker
ok, merci pour la précision (Flow)
Posté le 2 avril 2009 à 10:43:56
Jowy
Je pense qu’il y a une erreur dans la première ligne : svn co –username=guest –password=” svn://svn.insecure.org/nmap
Je pense que ça devrait ressembler plus à ça : svn co -–username guest -–password « » svn://svn.insecure.org/nmap
Mais même en faisant ça on a « connection timed out » je pense que c’est down de l’autre côté.
Posté le 2 avril 2009 à 10:53:06
!znogoudatall
Sauker, celui-ci n’est peut-être pas un virus UNIX, mais il en existe bien! Plus rare, (plus complexe?), mais ils existent bien!
Posté le 2 avril 2009 à 14:31:05
Bones
Merci pour l’info, je l’ai déja reperé sur quelques machines de mon reseau, ca va être cession annihilation !
Posté le 2 avril 2009 à 15:27:38
DadoOo Bot
J’arrive pas à la faire fonctionner… J’ai des erreurs du genre :
« SCRIPT ENGINE: No such category, file or directory: ’smb-check-vulns’
SCRIPT ENGINE: Aborting script scan. »
Posté le 2 avril 2009 à 16:45:18
zobi8225
Merci pour l’info.
Au fait nmap est dans les depots de ubuntu (et je pense aussi dans ceux de debian)
Posté le 2 avril 2009 à 17:38:17
korbé
Voilà ce que ça donne:
> nmap -PN -d -p445 –script=smb-check-vulns –script-args=safe=1 xxx.xxx.xxx.zzz-zzz >> conficker_scan.txt
Failed to resolve given hostname/IP: –script=smb-check-vulns. Note that you can’t use ‘/mask’ AND ‘1-4,7,100-’ style IP ranges
Failed to resolve given hostname/IP: –script-args=safe=1. Note that you can’t use ‘/mask’ AND ‘1-4,7,100-’ style IP ranges
Failed to resolve given hostname/IP: xxx.xxx.xxx.zzz-zzz. Note that you can’t use ‘/mask’ AND ‘1-4,7,100-’ style IP ranges
WARNING: No targets were specified, so 0 hosts scanned.
Est-ce normal? par ce que le réseau, c’est pas mon fort.
Posté le 2 avril 2009 à 20:54:25
Jowy
@Zobi8225 : Oui nmap est sur les dépots mais pas dans la bonne version ! Pour que ça fonctionne il faut la 4.85 minimum (en ce moment c’est la beta 7) http://nmap.org/dist/nmap-4.85BETA7.tar.bz2
@korbé : 2 erreurs -> il faut doubler les tirets pour avoir cette commande nmap -PN -d -p445 -–script=smb-check-vulns -–script-args=safe=1 xxx.xxx.xxx.zzz-zzz >> conficker_scan.txt
-> il faut remplacer les xxx.xxx.xxx.zzz-zzz par ta plage ip du genre 192.168.0.1-254 ou 192.168.0.1/24 si tes ip vont de 1 à 254
Posté le 2 avril 2009 à 22:25:21
Myst
@ Jowy :
Comme Korben l’explique dans un billet précédent, c’est Wordpress qui lui mange ses double tirets, raah le méchant (wordpress, pas korben) >_<
Posté le 3 avril 2009 à 08:41:33
Korben
@Myst: oui voilà… j’essayerai de trouver une parade mais là j’ai pas le temps
Posté le 3 avril 2009 à 09:00:39
dynek
Le script peut être trouvé ici:
http://nmap.org/nsedoc/scripts/smb-check-vulns.html
A+
Posté le 3 avril 2009 à 10:14:36
zobi8225
@Jowy: Merci de l’info
Juste pour précisé :
une foi que vous avez installer nmap, il faut lancer le script a partir du dossier en question. Sinon il risque d’utiliser le nmap que vous avez precedament installe.
A ce moment la vous aurez peut etre un warning comme ca :
Warning: File ./nselib/ exists, but Nmap is using /usr/local/share/nmap/nselib/ for security and consistency reasons. set NMAPDIR=. to give priority to files in your local directory (may affect the other data files too).
Sous ubuntu && debian faite « export NMAPDIR=. » pour enlever le warning
(sous *BSD je crois que c’est setenv)
Dites moi si je dis des conneries !
Posté le 3 avril 2009 à 15:33:46