CULTe : Home | Association | Reunions | Projets | Listes de diffusion | Recherche | Best of Linux-31 | Trombinoscope

(Courriels de diversion: <saturee@martiale-regles.com> <repayera@arlequins-consignions.com> <vivoteriez@deparent-desactive.com> <siegerions@adjugerent-nom.com> <desservit@chenal-furtivement.com> <reveree@vouais-flambante.com> <rebâtiraient@bêcherent-ecrie.com> <debattirent@monnayerons-tranquilliseraient.com> <exhumes@demangeaisons-relaxe.com> <disperseraient@admettront-pressentions.com> ) 

Bonjour,

Et bien au final, ça fonctionne sans faire de redirection ou quoi que
ce soit....

Comme prévu voilà toutes les infos pour ceux que ça intéressent (et
pour la postérité googlesque)

le scanner en python se trouve la :
http://net.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

il existe aussi des pages construites pour détecter conficker/downadup
: ça marche à 80%
http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

et voici le script que j'ai fait, et mis en crontab pour scanner mon
réseau à la recherche de machines infectées. Ce script récupère dans
un fichier texte la liste des subnet classe C à scanner. Les chemins
sont à adapter, ainsi que l'adresse mail en fin de script bien sur. On
peut aussi virer la date dans le nom des fichiers si on ne veut pas
garder l'historique.

==================================================================

#!/bin/bash

FMAIL=/home/toto/py/mail`date +%Y%m%d`.txt
FLISTEIP=/home/toto/py/listeip.txt
FINFECTED=/home/toto/py/infected`date +%Y%m%d`.txt

cat /dev/null > $FLISTEIP
cat /dev/null > $FINFECTED
cat /dev/null > $FMAIL

clear
echo "Debut : "  >> $FMAIL
echo >> $FMAIL
date >> $FMAIL
echo >> $FMAIL

while read line
do
        /home/instal/py/scs2.py ${line}.1 ${line}.255 |grep
INFECTED|cut -d' ' -f2|cut -d':' -f1 >> $FINFECTED
done < /home/instal/py/subnet.txt

while read lineb
do
        echo "----------------------------------" >> $FMAIL
        echo $lineb >> $FMAIL
        host $lineb|cut -d' ' -f5  >> $FMAIL
done < $FINFECTED

echo >> $FMAIL
echo "FINI"  >> $FMAIL
echo >> $FMAIL
date >> $FMAIL

cat $FMAIL | mail -s "Liste virus DOWNADUP" mail@monmail.com
==================================================================


2009/11/21 Cédric <meuced@gmail.com>:> Merci de l'info ;) mais je ne peux pas installer la version de nmap
> qui irait bien, même si j'aurais préféré...
>
> sinon je suis en train de parfaire mon script : finalement, sans
> redirection des sorties d'erreurs, ça fonctionne... mon script lit un
> fichier qui contient mes sous-réseaux, fait un scan de ces
> sous-réseaux le suns après les autres, récupère les IPs infectés et
> fait un "host" pour récupérer le nom de la machine. Les utilitaires
> utilisés sont : le script python, grep, cut, host, et des redirections
> dans des fichiers textes parcourus à l'aide de boucles "while". C'est
> exécuté par cron, le résultat est envoyé par mail.
>
> Si ça vous intéresse je posterai le contenu du script.
>
> Merci à tous pour votre aide.
>
> 2009/11/21 Nicolas Figaro <pookicat@gmail.com>:>> Salut,
>>
>> la dernière version de nmap fait ça très bien.
>> http://insecure.org/nmap.
>>
>> quelques explications (en anglais) :
>> http://www.sans.org/security-resources/idfaq/detecting-conficker-nmap.php
>> http://nmap.org/svn/scripts/smb-check-vulns.nse
>>
>> N F
>>
>> Le 19 novembre 2009 22:43, Cédric <meuced@gmail.com> a écrit :>>> Bonsoir,
>>>
>>> je pense en effet que suivant le résultat, la sortie se fait en erreur.
>>> par contre y'a aussi un effet de bord, si j'enchaine les exécutions le
>>> programme ne renvoie que des "UNKNOWN".
>>> En fait il s'agit d'un scanner sur le port tcp/445 pour trouver des
>>> machines infectés par Downadup/Conficker. Très efficace lancé à la
>>> main, avec une plage d'adresse ip, mais il ne support qu'un classe C à
>>> la fois.
>> la dernière version de nmap fait ça très bien.
>> http://insecure.org/nmap.
>>
>> N F
>>>
>>> Je continue mes tests demain avec vos conseils pour essayer
>>> d'automatiser ce scan.
>>>
>>> Merci.
>>
>> -----------------------------------------------------------------
>> Les listes de diffusion du CULTe - Pour une informatique libre
>> http://www.CULTe.org/listes/
>> Pour se desabonner:
>> mailto:linux-31-unsubscribe@CULTe.org?subject=Cliquez_sur_ENVOYER>>
>>
>
>
>
> --
> cedric
> http://eyes.neuneuil.com
>



-- 
cedric
http://eyes.neuneuil.com

-----------------------------------------------------------------
Les listes de diffusion du CULTe - Pour une informatique libre
http://www.CULTe.org/listes/
Pour se desabonner:
mailto:linux-31-unsubscribe@CULTe.org?subject=Cliquez_sur_ENVOYER

Cette page fait partie des archives des listes de diffusion de l'association CULTe.

A l'intention des mechants robots qui parcourent notre site a la recherche d'adresses electroniques a cibler avec des pourriels, voici une liste d'adresses pourries.