home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / nimda.nasl < prev    next >
Text File  |  2005-03-31  |  3KB  |  84 lines
  1. #
  2. # This script was written by Matt Moore <matt.moore@westpoint.ltd.uk>
  3. # www.westpoint.ltd.uk
  4. #
  5. # June 4, 2002 Revision 1.9 Additional information and refrence information
  6. # added by Michael Scheidell SECNAP Network Security, LLC June 4, 2002
  7. #
  8. # See the Nessus Scripts License for details
  9. #
  10.  
  11. if(description)
  12. {
  13.  script_id(10767);
  14.  script_version ("$Revision: 1.12 $");
  15.  name["english"] = "Tests for Nimda Worm infected HTML files";
  16.  name["francais"] = "Tests for Nimda Worm infected HTML files";
  17.  script_name(english:name["english"], francais:name["francais"]);
  18.  
  19.  desc["english"] = "Your server appears to have been compromised by the 
  20. Nimda mass mailing worm. It uses various known IIS 
  21. vulnerabilities to compromise the server.
  22.  
  23. Anyone visiting compromised Web servers will be prompted to
  24. download an .eml (Outlook Express) email file, which
  25. contains the worm as an attachment. 
  26.  
  27. Also, the worm will create open network shares on the infected 
  28. computer, allowing access to the system. During this process
  29. the worm creates the guest account with Administrator privileges.
  30.  
  31. Solution: Take this server offline immediately, rebuild it and
  32. apply ALL vendor patches and security updates before reconnecting
  33. server to the internet, as well as security settings discussed in 
  34. Additional Information section of Microsoft's web site at
  35.  
  36. http://www.microsoft.com/technet/security/bulletin/ms01-044.mspx
  37.  
  38. Check ALL of your local Microsoft based workstations for infection.
  39. Note: this worm has already infected more than 500,000 computers
  40. worldwide since its release in late 2001.
  41.  
  42. See:  http://www.cert.org/advisories/CA-2001-26.html
  43.  
  44. Risk factor : High";
  45.  
  46.  script_description(english:desc["english"]);
  47.  
  48.  summary["english"] = "Tests for Nimda Worm infected HTML files";
  49.  
  50.  script_summary(english:summary["english"]);
  51.  
  52.  script_category(ACT_GATHER_INFO);
  53.  
  54.  script_copyright(english:"This script is Copyright (C) 2001 Matt Moore",
  55.         francais:"Ce script est Copyright (C) 2001 Matt Moore");
  56.  family["english"] = "CGI abuses";
  57.  family["francais"] = "Abus de CGI";
  58.  script_family(english:family["english"], francais:family["francais"]);
  59.  script_dependencie("find_service.nes", "no404.nasl");
  60.  script_require_ports("Services/www", 80);
  61.  exit(0);
  62. }
  63.  
  64. # Check for references to readme.eml in default HTML page..
  65.  
  66. include("http_func.inc");
  67.  
  68. port = get_http_port(default:80);
  69.  
  70. if(get_port_state(port))
  72.  req = http_get(item:"/", port:port);
  73.  soc = http_open_socket(port);
  74.  if(soc)
  75.  {
  76.  send(socket:soc, data:req);
  77.  r = http_recv(socket:soc);
  78.  http_close_socket(soc);
  79.  if("readme.eml" >< r)    
  80.      security_hole(port);
  81.  
  82.  }
  83. }
  84.