Sebagai pengguna komputer, khususnya seorang sistem administrator, melakukan pengecekan vulnerability sangatlah penting. Jika tidak dilakukan dapat menimbulkan kerugian yang serius karena virus/worm yang digunakan oleh malicious hacker yang memanfaatkan celah keamanan tersebut.
Saya asumsikan bahwa Nmap telah terinstall dengan scripting engine smb-check-vulns
.
Contoh berikut ini adalah perintah untuk melakukan scan alamat IP 114.56.xxx.xx
pada port 445
. Anda perlu mengganti 114.56.xxx.xx
dengan alamat IP yang ingin Anda cek.
1nmap -T insane --script smb-check-vulns.nse -p 445 114.56.xxx.xx
Dari perintah di atas, Anda akan mendapatkan output kurang lebih seperti berikut :
1Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-08 06.20 WIT
2Interesting ports on 114.56.xxx.xx:
3PORT STATE SERVICE
4445/tcp open microsoft-ds
5Host script results:
6| smb-check-vulns:
7| MS08-067: FIXED (likely by Conficker)
8|_ Conficker: Likely INFECTED (by Conficker.C or lower)
9Nmap done: 1 IP address (1 host up) scanned in 7.08 seconds
Dapat Anda lihat bahwa pada celah keamanan MS08-067 pada host tersebut telah fixed (tertutup) karena terinfeksi Conficker. Anda dapat mendownload Kido Killer yang dibuat oleh Kaspersky pada host yang terinfeksi Conficker.
Sedikit penjelasan lebih detail dari hasil scan Nmap diatas :
MS08-067
Pengecekan apakah host memiliki celah keamanan MS08-067
. Sebuah celah keamanan RPC pada Windows yang memungkinkan malicious user untuk melakukan Remote Code Execution (RCE).
Perlu diperhatikan bahwa melakukan pengecekan MS08-067 sangat berbahaya karena dapat membuat sistem menjadi hang / crash. Namun celah MS08-067 sangatlah penting (wajib) ditutup.
Metasploit telah lama memiliki ms08_067_netapi exploit untuk celah ini dan berjalan lancar terhadap sistem yang memiliki celah keamanan tersebut.
Conficker
Pengecekan apakah host terinfeksi oleh Conficker. Pengecekan ini berdasarkan program conficker scanner yang dapat ditemukan di http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker.
regsvc DoS
Pengecekan apakah dapat memanfaatkan celah yang mengakibatkan service regsvc
crash yang disebabkan karena null pointer dereference. Jika celah tersebut ada, menjalankan pengecekan ini akan menyebabkan service tersebut crash (meskipun perlu guest account atau lebih tinggi agar dapat bekerja).
MBv2 DoS
Melakukan DoS pada celah keamanan CVE-2009-3103 (menyebabkan bluescreen jika berhasil). Berkerja pada Windows Vista dan beberapa versi Windows 7.
POC source code dapat ditemui di http://seclists.org/fulldisclosure/2009/Sep/0039.html.