Cách tốt nhất để tìm PC bị nhiễm Conficker trong mạng công ty từ xa là gì?

Câu trả lời:

5

Phiên bản mới nhất nmapcó khả năng phát hiện tất cả các biến thể (hiện tại) của Conficker bằng cách phát hiện các thay đổi gần như vô hình mà con sâu tạo ra cho các dịch vụ cổng 139 và port 445 trên các máy bị nhiễm.

Đây là (AFAIK) cách dễ nhất để quét toàn bộ mạng dựa trên toàn bộ mạng của bạn mà không cần truy cập từng máy.

Alnitak
nguồn
Nếu pc có tường lửa được cấu hình tốt, nó sẽ chặn từ 139 và 445 cổng, vì vậy nó không hiệu quả 100%, nhưng hầu hết các máy đều có thể được phát hiện.
Kazimieras Aliulis
Nếu PC có tường lửa được cấu hình tốt, có lẽ nó sẽ không bị lây nhiễm ngay từ đầu ...
Alnitak
Bạn nên lưu ý rằng một số phần nhất định của các bài kiểm tra smb-check-Vulns có trong nmap có thể gây ra sự cố cho các máy bị nhiễm. Mà có thể tránh tốt nhất trong một môi trường sản xuất.
Dan Carley
đối với các máy bị nhiễm có vẻ như là một chiến thắng, đối với tôi :) Sự cố máy không bị nhiễm sẽ rất tệ, mặc dù ...
Alnitak
11

Chạy công cụ loại bỏ phần mềm độc hại của Microsoft . Nó là một nhị phân độc lập rất hữu ích trong việc loại bỏ phần mềm độc hại phổ biến và nó có thể giúp loại bỏ họ phần mềm độc hại Win32 / Conficker.

Bạn có thể tải xuống MSRT từ một trong các trang web Microsoft sau:

Đọc bài viết hỗ trợ Micosoft này: Thông báo vi-rút về sâu Win32 / Conficker.B

CẬP NHẬT:

Có trang web này mà bạn có thể mở. Nó sẽ đưa ra cảnh báo nếu có dấu hiệu của conficker trên máy: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Tôi gần như đã quên đề cập đến phương pháp "trực quan" rất hay này: Biểu đồ mắt Conficker (Tôi không chắc liệu nó có hoạt động trong tương lai với phiên bản sửa đổi của virus không) - Tôi không chắc liệu nó có còn hoạt động đúng không (cập nhật 06 / 2009):

Nếu bạn có thể thấy tất cả sáu hình ảnh ở cả hai hàng của bảng trên cùng, bạn sẽ không bị lây nhiễm bởi Conficker hoặc bạn có thể đang sử dụng máy chủ proxy, trong trường hợp đó bạn sẽ không thể sử dụng thử nghiệm này để đưa ra quyết định chính xác, vì Conficker sẽ không thể chặn bạn xem các trang AV / bảo mật.

Máy quét mạng

Máy quét mạng Worm Conficker miễn phí của eEye:

Con sâu Conficker sử dụng nhiều vectơ tấn công để truyền và nhận tải trọng, bao gồm: lỗ hổng phần mềm (ví dụ MS08-067), thiết bị đa phương tiện di động (ví dụ ổ USB và ổ cứng), cũng như tận dụng điểm yếu của điểm cuối (ví dụ: mật khẩu yếu hệ thống kích hoạt mạng). Con sâu Conficker cũng sẽ sinh ra các cửa hậu truy cập từ xa trên hệ thống và cố gắng tải thêm phần mềm độc hại để tiếp tục lây nhiễm máy chủ.

Tải xuống tại đây: http://www.eeye.com/html/doads/other/ConfickerScanner.html

Cũng xem tài nguyên này ("máy quét mạng"): http: //iv.cs.uni-bonn. de / wg / cs / ứng dụng / chứa-conficker / . Tìm kiếm "Trình quét mạng" và, nếu bạn đang chạy Windows:

Florian Roth đã biên soạn một phiên bản Windows có sẵn để tải xuống từ trang web của mình [liên kết trực tiếp đến tải xuống zip] .

mảnh vụn
nguồn
Tôi hỏi làm thế nào để phát hiện PC trong mạng chứ không phải làm thế nào để xóa chúng.
Kazimieras Aliulis
Công cụ diệt sẽ phát hiện ra chúng. Như một hiệu ứng phụ tuyệt vời, nó xóa chúng ... ;-)
splattne
À, ý bạn là NHỚ? lấy làm tiếc. Bây giờ tôi hiểu rồi.
splattne
Nếu máy tính có tường lửa được cấu hình tốt, nó sẽ chặn các cổng 139 và 445, vì vậy nó không hiệu quả 100%, nhưng hầu hết các máy đều có thể được phát hiện. Đáng buồn thay, chữ ký phát hiện xâm nhập đó chỉ dành cho phiên bản A và B. Kiểm tra tên miền cũng là một giải pháp khả thi.
Kazimieras Aliulis
4

Có một công cụ Python có tên SCS mà bạn có thể khởi chạy từ máy trạm của mình và bạn có thể tìm thấy nó ở đây: http://iv.cs.uni-bonn.de/wg/cs/appluggest/contained-conficker/

Nó đi theo cách này trên máy trạm của tôi:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Andor
nguồn
Đó là kịch bản tốt đẹp!
Kazimieras Aliulis
1

OpenDNS sẽ cảnh báo các PC mà nó cho là bị nhiễm. Mặc dù như splattne đã nói, MSRT rất có thể là lựa chọn tốt nhất.

Adam Gibbins
nguồn
Chính sách của công ty không cho phép sử dụng OpenDNS, nó phải ở nhà giải pháp.
Kazimieras Aliulis
0

Chúng tôi hiện đang tìm thấy chúng bằng cách nhận thấy máy nào được liệt kê trong nhật ký sự kiện của các máy khác vì vi phạm chính sách LSA. Cụ thể IN Nhật ký sự kiện Nguồn LsaSrv lỗi 6033. Máy tạo các kết nối phiên ẩn danh đang bị từ chối bị nhiễm conficker.

Laura Thomas
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.