दूर से कंपनी नेटवर्क में संक्रमित पीसी को खोजने के लिए सबसे अच्छा तरीका क्या है?


जवाबों:


5

नवीनतम संस्करण में nmapकंफिकर के सभी (वर्तमान) वेरिएंट का पता लगाने की क्षमता है, अन्यथा कृमि 139 और पोर्ट 445 सेवाओं को संक्रमित मशीनों पर पोर्ट करने के लिए अन्यथा अदृश्य परिवर्तनों का पता लगाते हैं।

यह (AFAIK) प्रत्येक मशीन पर जाकर बिना अपने पूरे नेटवर्क का नेटवर्क आधारित स्कैन करने का सबसे आसान तरीका है।


यदि पीसी में अच्छी तरह से कॉन्फ़िगर किया गया फ़ायरवॉल है तो यह 139 और 445 पोर्ट से ब्लॉक हो जाएगा, इसलिए यह 100% प्रभावी नहीं है, लेकिन अधिकांश मशीनों का पता लगाया जा सकता है।
काजीमीरास एल्युलिस

यदि पीसी में अच्छी तरह से कॉन्फ़िगर किया गया फ़ायरवॉल होता तो शायद वह पहले संक्रमित नहीं होता ...
Alnitak

आपको ज्ञात होना चाहिए कि नैंप में शामिल smb-check-vulns परीक्षणों के कुछ हिस्से संक्रमित मशीनों को क्रैश करने के लिए उत्तरदायी हैं। जो उत्पादन के माहौल में सबसे अच्छा बचा जा सकता है।
डैन कार्ली

दुर्घटनाग्रस्त मशीनों को तोड़ना एक जीत की तरह लगता है, मेरे लिए :) असम्पीडित मशीनों को दुर्घटनाग्रस्त करना वास्तविक बुरा होगा, हालांकि ...
अलनीतक

11

Microsoft का दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण चलाएँ । यह एक स्टैंड-अलोन बाइनरी है जो प्रचलित दुर्भावनापूर्ण सॉफ़्टवेयर को हटाने में उपयोगी है, और यह Win32 / Conficker मैलवेयर परिवार को हटाने में मदद कर सकता है।

आप निम्न Microsoft वेब साइटों में से MSRT डाउनलोड कर सकते हैं:

इस माइक्रोसॉफ़्ट सपोर्ट आर्टिकल को पढ़ें: Win32 / Conficker.B वर्म के बारे में वायरस अलर्ट

अपडेट करें:

यह वेब पेज है जिसे आप खोल सकते हैं। यदि मशीन पर कंफ्यूज़न का संकेत हो तो यह चेतावनी देनी चाहिए: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

मैं लगभग इस बहुत ही अच्छे "दृश्य" दृष्टिकोण का उल्लेख करना भूल गया: कन्फिकर आई चार्ट (मुझे यकीन नहीं है कि यह भविष्य में वायरस के संशोधित संस्करण के साथ काम करेगा) - मुझे यकीन नहीं है कि यह अभी भी ठीक से काम करता है (अपडेट 06) / 2009):

यदि आप शीर्ष तालिका की दोनों पंक्तियों में सभी छह छवियां देख सकते हैं, तो आप या तो कन्फिकर से संक्रमित नहीं हैं, या आप प्रॉक्सी सर्वर का उपयोग कर रहे हैं, जिस स्थिति में आप सटीक निर्धारण करने के लिए इस परीक्षण का उपयोग नहीं कर पाएंगे, चूंकि Conficker आपको AV / सुरक्षा साइटों को देखने से रोक नहीं पाएगा।

नेटवर्क स्कैनर

eEye के नि: शुल्क कंफर्म वर्म नेटवर्क स्कैनर:

कन्फ़र्म वर्म विभिन्न प्रकार के अटैक वेक्टर्स का उपयोग करता है जो पेलोड को संचारित और प्राप्त करता है, जिसमें शामिल हैं: सॉफ़्टवेयर भेद्यता (जैसे MS08-067), पोर्टेबल मीडिया डिवाइस (जैसे USB थंब ड्राइव और हार्ड ड्राइव), साथ ही एंडपॉइंटिंग एंडपॉइंट्स (जैसे कमजोर पासवर्ड) नेटवर्क-सक्षम सिस्टम)। सिस्टम पर कन्फर्म वर्म रिमोट एक्सेस बैकवॉच भी फैलाएगा और मेजबान को और अधिक संक्रमित करने के लिए अतिरिक्त मैलवेयर डाउनलोड करने का प्रयास करेगा।

यहाँ डाउनलोड करें: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

इस संसाधन ("नेटवर्क स्कैनर") को भी देखें: http: //iv.cs.uni-bonn डी / डब्ल्यूजी / सीएस / आवेदन / युक्त-कन्फर्मर / । "नेटवर्क स्कैनर" खोजें और, यदि आप विंडोज चला रहे हैं:

फ्लोरियन रोथ ने एक विंडोज संस्करण संकलित किया है जो उनकी वेबसाइट [जिप-डाउनलोड से सीधा लिंक] से डाउनलोड के लिए उपलब्ध है ।


मैंने पूछा कि नेटवर्क में पीसी का पता कैसे लगाया जाए, न कि उन्हें कैसे साफ किया जाए।
काजीमीरास अलीउलिस

निष्कासन उपकरण उन्हें दिखाता है। एक अच्छे साइड-इफ़ेक्ट के रूप में, यह उन्हें साफ़ करता है ... ;-)
splattne

आह, तुम्हारा मतलब है REMOTELY? माफ़ करना। अब मुझे समझ आई।
13

यदि पीसी में अच्छी तरह से कॉन्फ़िगर किया गया फ़ायरवॉल है तो यह 139 और 445 पोर्ट को ब्लॉक कर देगा, इसलिए यह 100% प्रभावी नहीं है, लेकिन अधिकांश मशीनों का पता लगाया जा सकता है। दुखद यह है कि घुसपैठ का पता लगाने वाले हस्ताक्षर केवल ए और बी संस्करणों के लिए हैं। डोमेन चेकिंग एक व्यवहार्य समाधान भी है।
काजीमीरास एल्युलिस

4

SCS नामक एक पायथन टूल है जिसे आप अपने कार्य केंद्र से लॉन्च कर सकते हैं, और आप इसे यहां पा सकते हैं: http://iv.cs.uni-bonn.de/wg/cs/applications/contain-conficker/

यह मेरे कार्य केंद्र पर इस तरह से जाता है:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.

यह अच्छी स्क्रिप्ट है!
काजीमीरास अलीउलिस

3

इस पृष्ठ में बहुत सारे उपयोगी संसाधन हैं, जिनमें से एक त्वरित दृश्य सारांश भी शामिल है कि क्या आप संक्रमित हैं ...

http://www.confickerworkinggroup.org/wiki/


1

OpenDNS को लगता है कि पीसी संक्रमित हैं। हालांकि जैसा कि स्प्लैटन ने कहा, MSRT सबसे अच्छा विकल्प है।


कंपनी की नीति OpenDNS का उपयोग करने की अनुमति नहीं देती है यह घरेलू समाधान पर होना चाहिए।
काजीमीरास अलीउलिस

0

वर्तमान में हम उन्हें देख रहे हैं कि एलएसए नीति के उल्लंघन के लिए अन्य मशीनों के इवेंट लॉग में कौन सी मशीनें सूचीबद्ध हैं। विशेष रूप से इवेंट लॉग में स्रोत LsaSrv त्रुटि 6033। अनाम सत्र कनेक्शन बनाने वाली मशीन जो अस्वीकार की जा रही है, वह विकट संक्रमित है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.