作为 Linux 系统管理员，我们中的许多人仍然需要处理 Windows 蠕虫及其对我们网络的影响。明天是4月1日，Conficker 蠕虫将在各处的易受攻击的计算机上激活。 这是一个快速的 HOW-TO，展示了如何检测网络上已受感染和/或易受攻击的计算机

目前有两种相当简单的方法可以使用。

第一种方法使用简单，但速度非常慢。 在作者的辩护中，这只是一个概念验证。 但它确实有效。 :) 它用 Python 编写，同时包含 Python 脚本（需要 Impacket 库）和一个独立的 Windows 版本，如果您被困在 Windows 机器上。

此站点包含指向这两个版本的链接，以及一些说明。 该网站似乎能够跟上它正在获得的流量，而其他一些网站正在崩溃，因为管理员争先恐后地嗅探他们的网络。

第二种方法 使用全新版本的 NMAP 进行检测。 优点是它可以更快地扫描更大的网络。 缺点是它需要一些命令行技巧。 别害怕，就像复制/粘贴一样简单。

首先，获取您操作系统的版本。 注意：您必须获取 nmap-4.85BETA5，因为早期版本不会扫描 Conficker 病毒。

安装 nmap 后，您需要运行命令

nmap -PN -d -p445 --script=smb-check-vulns --script-args=safe=1 [network_range]

其中 [network_range] 类似于 10.10.5.1-255 甚至 10.10.0.0/16。

您需要查看结果以获取如下信息

主机脚本结果
| smb-check-vulns
| MS08-067: 已修复
| Conficker: 可能已感染
|_ regsvc DoS: 易受攻击

然后修复/打补丁这些主机。 我建议将结果发送到文本文件，并使用 grepping 命令搜索单词 VULNERABLE 或 INFECTED——但这些类型的指令超出了这篇快速文章的范围。 :)

更新：（感谢 Matt McMahon）
Shawn，总结得很好。 还有一些补充说明。 首先，smb-check-vulns 脚本的作者 (Ron Bowes) 在他的博客上有一些最新的更新，是的，该网站目前正在受到重创，不要期望忍者般的速度。 为了节省访问时间，我将总结…

*咳咳*

nmap 的 4.85BETA5 版本确实会返回一些误报，并且在某些情况下，甚至无法在应该运行脚本的计算机上运行该脚本（这让我很恼火）。 作者一直在每分钟更新代码并修复了这些错误，但尚未发布 BETA6。 最简单的方法是通过他的 SVN 存储库来保持最新状态。 说明位于上面的网站上，但为了节省鼠标点击，我将复制并粘贴

svn co –username=guest –password=” \
svn://svn.insecure.org/nmap
cd nmap
./configure
make
make install

这是源代码，并在我的 Slackware 安装中构建良好，YMMV…