FAQs - NAT

Le FAQ di GARR CERT


Come posso individuare sistemi infetti dal virus Conficker situati dietro server NAT, senza avere informazioni complete circa le connessioni sospette?

Rilevare il virus Conficker.

:: Descrizione

I log che Vi inoltriamo ci vengono inviati da enti esterni al GARR. Purtroppo le connessioni registrate in questi log non sempre sono complete di IP e porta destinazione.

Questi log vengono prodotti con una tecnica di tipo sinkhole routing attraverso la quale non vengono intercettati solo gli attacchi verso i servizi Microsoft Windows (security alert MS08-067), ma anche particolari richieste http che il virus stesso esegue per scaricare propri aggiornamenti.

Alla richiesta di maggiori dettagli ci e' stato comunicato quanto segue:
"The destination IP protocol will always be TCP (6) and the destination TCP port will always be HTTP (80) for these Conficker reports unless otherwise specified."

Non possiamo garantire che tutti i nodi segnalati siano realmente infetti, anzi siamo interessati ad avere riscontro di eventuali falsi positivi.

:: Interventi possibili

E' possibile tentare di individuare sistemi infetti nella propria rete locale tramite strumenti come nmap o tool specifici (vedi "Informazioni dalla rete") sul cui funzionamento pero' non abbiamo condotto alcun test.

esempio:

nmap -PN -T4 -p139,445 -vv --script=p2p-conficker,smb-os-discovery,smb-check-vulns 
--script-args=checkconficker=1,safe=1 [target_networks]

E' anche possibile installare ngrep, un IDS come snort o un vulnerability scanner come Nessus:

La seguente pagina puo' aiutare l'utente a rilevare la presenza del virus sul suo sistema:

:: Informazioni dalla rete

Bonn University - Containing Conficker - Network Scanner in Phyton