home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / tfn.nasl < prev    next >
Text File  |  2005-01-14  |  3KB  |  103 lines
  1. #
  2. # This script was written by Renaud Deraison <deraison@cvs.nessus.org>
  3. #
  4. # See the Nessus Scripts License for details
  5. #
  6.  
  7. if(description)
  8. {
  9.  script_id(10283);
  10.  script_version ("$Revision: 1.8 $");
  11.  script_cve_id("CAN-2000-0138");
  12.  
  13.  name["english"] = "TFN Detect";
  14.  name["francais"] = "Detection de TFN";
  15.  
  16.  script_name(english:name["english"], francais:name["francais"]);
  17.  
  18.  desc["english"] = "
  19. The remote host appears to be running
  20. TFN (Tribe Flood Network), which is
  21. a trojan that can be used to control
  22. your system or make it attack another
  23. network.
  24.  
  25. It is very likely that this host
  26. has been compromised
  27.  
  28. Solution : Restore your system from backups,
  29.        contact CERT and your local
  30.        authorities
  31.  
  32. Risk factor : Critical";
  33.  
  34.  
  35.  
  36.  desc["francais"] = "
  37. Le systeme distant semble faire tourner
  38. TFN (Tribe Flood Network) qui peut etre
  39. utilisΘ pour prendre le controle de celui-ci
  40. ou pour attaquer un autre rΘseau.
  41.  
  42. Il est trΦs probable que ce systeme a ΘtΘ
  43. compromis
  44.  
  45. Solution : reinstallez votre systΦme α partir
  46.        des sauvegardes, et contactez le CERT
  47.        et les autoritΘs locales
  48.        
  49. Facteur de risque : Critique";
  50.  
  51.  
  52.  script_description(english:desc["english"], francais:desc["francais"]);
  53.  
  54.  summary["english"] = "Detects the presence of TFN";
  55.  summary["francais"] = "Detecte la prΘsence de TFN";
  56.  
  57.  script_summary(english:summary["english"], francais:summary["francais"]);
  58.  
  59.  script_category(ACT_GATHER_INFO);
  60.  
  61.  
  62.  script_copyright(english:"This script is Copyright (C) 1999 Renaud Deraison",
  63.         francais:"Ce script est Copyright (C) 1999 Renaud Deraison");
  64.  family["english"] = "Backdoors";
  65.  family["francais"] = "Backdoors";
  66.  script_family(english:family["english"], francais:family["francais"]);
  67.  
  68.  
  69.  exit(0);
  70. }
  71.  
  72. #
  73. # The script code starts here
  74. #
  75.  
  76. if(islocalhost())exit(0);
  77.  
  78. ip = forge_ip_packet(ip_hl:5, ip_v:4,   ip_off:0,
  79.                      ip_id:9, ip_tos:0, ip_p : IPPROTO_ICMP,
  80.                      ip_len : 20, ip_src : this_host(),
  81.                      ip_ttl : 255);
  82.  
  83. #
  84. # We send the command ID_SYNPORT (678) and wait for 
  85. # ID_ACK (123)
  86. #
  87.  
  88. ID_ACK = 123;
  89. ID_SYNPORT = 678;
  90. icmp = forge_icmp_packet(ip:ip,icmp_type : 8, icmp_code:0,
  91.                           icmp_seq : 1, icmp_id : ID_SYNPORT, 
  92.               data:"1234");
  93.  
  94. filter = string("icmp and src host ", get_host_ip(), " and dst host ", this_host());
  95. r = send_packet(icmp, pcap_active:TRUE, pcap_filter:filter);
  96. if(r)
  97. {
  98.  type = get_icmp_element(icmp:r, element:"icmp_id");
  99.  if(type == ID_ACK)security_hole(protocol:"icmp",port:0); 
  100. }
  101.  
  102.  
  103.