PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Viren für linux?



SchwarzerLotus
11.09.2005, 10:23
Hi leute

ich habe erst vor kruzem von einem arbeitskollegen gehört, es gibt für linux bereits einige viren 8o

so nun sagt aber "EasyLinux" vom August:
"Ein Linux-Virus befindet sich nicht im Umlauf. Auch ergibt es wenig Sinn einen Linuxvirus zu schreiben. (Dies hängt mit der Systemstruktur zusammen)"

Was soll ich nun glauben ?(

Weiß jemand von euch was über Linuxviren oder ist nix bekannt?

name
11.09.2005, 11:09
Ich hab gehört das es einen funktionierenden gibt, und einen der so alt ist das er nimmer "läuft" :)

.eg
11.09.2005, 11:50
ja, es gibt Linux-Viren, aber niemand ist so bloed diese als root auszufuehren.

Gruss, .eg

bananenman
11.09.2005, 12:04
frisk (der hersteller des altbekannten antivirenscanners f-prot) hatte bis vor einiger zeit noch eine auflistung auf ihrer website, in der die verteilung der über 200.000 bekannten viren und würmer auf die einzelnen betriebssysteme aufgelistet waren. dabei wurden für unix/linux etwa 400 viren gelistet - allerdings sind das alles uralte labormäuse aus 70'er jahren gewesen. damals wurden noch von at&t selbst verschiedene schadprogramme für unix-varianten geschrieben um das system gegen angriffe härten zu können. alle modernen varianten sind gegen diese schadprogramme natürlich immun und es gibt meines wissens nach nur 2 ebenfalls inzwischen veraltete schadprogramme, die unix/linux systeme angreifen - das sind allerdings keine viren, sondern würmer - auch werden hier nicht die systeme direkt, sondern bestimmte programme die auf den systemem laufen angegriffen (namentlich eine veraltete apache-version und eine längst überholte ssl-variante). guckst du hier (http://www.f-prot.com/virusinfo/unix.html). allerdings gibt es andere formen von attacken - z.b. root-kits: diese versuchen den root-account zu übernehmen. aber auch gegen solche schadprograme ist ein kraut gewachsen: root-kit-checker, introusion-detection-systeme und ein wachsamer admin ... ;)

sir_rage
13.09.2005, 18:15
Hi leute

ich habe erst vor kruzem von einem arbeitskollegen gehört, es gibt für linux bereits einige viren 8o

so nun sagt aber "EasyLinux" vom August:
"Ein Linux-Virus befindet sich nicht im Umlauf. Auch ergibt es wenig Sinn einen Linuxvirus zu schreiben. (Dies hängt mit der Systemstruktur zusammen)"

Was soll ich nun glauben ?(

Weiß jemand von euch was über Linuxviren oder ist nix bekannt?

nach easylinux sind bloß keine linux-vire 'im umlauf', sie schreiben nicht, dass es keine für linux gibt. natürlich git es einiges 'viren' für linux....


greetz sir_rage

hijacker
13.09.2005, 18:29
und einige viren schreiben in diesem forum sogar beitraege :D

Sir Auron
13.09.2005, 19:19
und einige viren schreiben in diesem forum sogar beitraege :D
Ja genau: du.

Aber wenn man verstanden hat wie UNIX funktioniert, hat man verstanden, dass nur einige bugs, die dem programm root zugriff erlauben, gefährlich sind (gibt auch einige rootkits) und das Design großen Schaden vermeidet. Man müsste schon als root im Internet surfen und sich so infizieren (so wie es bei $M der Fall), um Schaden anzurichten.

sono
13.09.2005, 21:07
Linuxviren sind nicht ganz so harmlos wie machne das denken !

Es stimmt zwar , dass es kaum Linux Viren gibt , und die wenigen die es gibt hauptsächlich Labormäuse mit mittlerweile abgenutzen Zähnen sind , aber es ist definitiv möglich für Linux Viren zu schreiben die genau denselben Schanden anrichen können wie Windowsviren.

1. Es gibt oft genug Bugs die es einem ermöglichen sich rootrechte zu erschleichen, soviel zum als User arbeiten.

2. Das wirklich teure und Wertvolle auf einem Computer ist meinst nicht das os , sondern die Daten die man so hat , und um die zu killen braucht man keine höheren Benutzerrechte .

3. Der häufig verbreitete Irrglaube , Linux wäre absolut imun gegen Viren und Würmer . Es soll Leute geben die werden da etwas leichtsinnig , Sicherheitsupdates einmal im Monat aber tapfer jeden Emailanhang öffnen , man ist ja sicher.

4. Es gibt Leute die einfach wild Software aus diversen Quellen installieren , uns auch für Linux gibt es Quellen die man lieber nicht in Anspruch nehmen sollte .

5. Scriptkiddies , oder wie verseuche ich mein Linux ganz sicher indem ich fremde "hacker"tools mit rootrechten auf system laufen lasse usw.

Es ist zwar vermutlich nicht ganz so einfach eine Virus , oder Wurm oder was auch immer für Linux zu schreiben ( der vor allem allen auf den meinsten distries läuft ohne dass man ihn selbst compilieren muss ), und weiter unterstelle ich dem durchschnitts Linuxuser , dass er mehr Ahnung von Computern hat , als der Durchschnitts Windows User , und somit auch weniger
anfällig ist sich mal schnell einen neuen Virus zuzulegen.

Aber wenn jemand mit genug Know How es darauf anlegen würde , könnte er sicher auch einen Linuxvirus schreiben , der alles das könnte was ein Windowsvirus auch kann .

Aleine die riesige Zahl von Packeten und somit die riesige Zahl von theoretisch vorhandenen Sicherheitslöchern stellt sicher , dass mann immer ein paar verwundbare Systeme finden wird .

Allerdings auch dass die Zahl dere wesentlich geringer sein wird , als die der verwundbaren Windowssysteme pro bug .

DennisM
13.09.2005, 21:47
Naja das gute dabei ist, fast jeder User hat andere Versionen der jeweiligen Programme installiert in Version x besteht das Problem und ich Version y nicht mehr. Somit ist es sehr schwer einen Virus bzw ein rootkit zu programmieren.

MFG

Dennis

liquidnight
13.09.2005, 22:25
Linuxviren sind nicht ganz so harmlos wie machne das denken !
zu 1: hast Du mir grad einen solchen Bug zur hand ? ich wüsste grad keinen realistischen trick, wie man sich als user rootrechte erschleicht.

zu 2: einverstanden. statistisch ist immer noch der besitzer die größte gefahr für die daten :-)

zu 3: der benutzer-account bietet natürlich immer noch die möglichkeit, die daten des benutzers zu löschen. zwei vorteile hat linux aber (noch):
a) es ist lange nicht so verbreitet, sich binarys per e-mail zu schicken.
b) die programme, die die anhänge verarbeiten sind auch in einer opensource-variante zu haben, die man selbst prüfen kann.
bei flash- und realmedia-dateien fällt mir grad keine opensource-variante ein ...

zu 4.: welche quelle sollte man z.b. nicht benutzen ?


"Aleine die riesige Zahl von Packeten und somit die riesige Zahl von theoretisch vorhandenen Sicherheitslöchern stellt sicher , dass mann immer ein paar verwundbare Systeme finden wird ."
---> hier stimme ich mit deiner argumentation überhaupt nicht zu !

die riesige anzahl von paketen führt zur diversifizierung. es sei:
Ng : globale paketanzahl
Nk : Anzahl der Pakete pro Rechner
Ich schätze einfach mal: Nk ~ Ng^0.2
Ich meine also: je mehr Pakete es insgesamt gibt, desto geringer ist die wahrscheinlichkeit, auf einem Rechner ein bestimmtes Paket anzutreffen.

Die Zahl der theoretisch vorhandenen Sicherheitslöchern ist für einen Virenprogrammierer nicht so wichtig. Wichtig ist die Anzahl der praktisch vorhandenen sicherheitslöcher, d.h. Konstellationen, unter denen es sich überhaupt erst lohnt, einen Angriff zu starten. Ein Virus muss hinreichend versteckt arbeiten und hat also nur begrenzte Ressourcen in vielen Dimensionen: Angriffsarten, Zeitverhalten der Angriffe, Speicherverbrauch, Plattenbenutzung.

Das Finden infizierbarer Systeme wird stark behindert, wenn die meisten erreichbaren Systeme z.b. monatlich Sicherheitsupdates bekommen. Damit werden schonmal ein großteil der Verfügbaren Angriffsmöglichkeiten ausgeräumt. Das ist im Übrigen auch etwas anderes, wenn es eine Firma macht, denn bei Opensource kommt die Marketing-Schicht nicht dazwischen.

von wegen Quellen: bei Gentoo werden die Pakete mit md5-Summen geprüft. Wenn ein virulentes paket sich in den gentoo baum einschleichen würde, wäre ziemlich was los, d.h. die maßnahmen gegen den jenigen wären bestimmt wirksam. Jetzt kann man natürlich argumentieren: MD5 wurde neuerdings durch mathematische Tricks geschwächt. Solang das aber noch nicht praktischerweise ausgenutzt wurde, tut es diese Art von Sicherung noch. Und wenn es dann mal ausgenutzt wird: Dann wird man sich eine andere Art der Sicherung ausdenken müssen. Immerhin: es ist dann aber keine Firma dahinter, die dieses "Sicherheitsbedürfnis" für den Verkauf und Einsatz von RFIDs oder TPM-Chips ausnutzen will.

Wolfgang
14.09.2005, 07:12
Hallo
Zu den Dateianhängen will ich mal nur kurz bemerken:
Im Gegensatz zu Wintendo hat unter *nix System ein Dateianhang
nicht Ausführungsrechte!
Wie also willst du sowas ausführen?
Selbst solche Mausschubser, die Dateianhänge per klicki ausführen
wöllten kämen damit nicht weit.
Das bedeutet, dass sowas erstmal gesetzt werden musss.
Wer als root in irgendeiner GUI rumfummelt, hat aber ohnehin
das Risiko gepachtet und weiss oft nicht was er tut.
Dass ein im Netz stehendes System angreifbar ist, hat IMHO aber nichts
mit Virenanfälligkeit zu tun.
Die ganzen Zombikisten, die vermehrt als Botnetze zu Spamaktionen oder
anderen Angriffen missbraucht werden, sind ausnahmslos verseuchte Wintendokisten.
Deren Besitzer (hier von Admin zu reden ist fehl am Platz) merken in ihrer
heilen klicki bunti Welt nichtmal, woran sie gerade beteiligt sind.
Bei den M$ Systeme handelt es sich nicht umsonst um das Hauptziel der Virencoder.
Klar gibt es exploide auch für unix, aber das hat mit Viren nix zu tun.

Gruß Wolfgang

sono
14.09.2005, 13:37
hast Du mir grad einen solchen Bug zur hand ? ich wüsste grad keinen realistischen trick, wie man sich als user rootrechte erschleicht.

Wozu auswendig kennen , kann man mit den richtigen Verbindungen vermutlich innerhalb weniger Minuten nachlesen ? Und wenns grad keinen gibt , der nächste kommt bestimmt.

Ansonsten gibt es ja diverse nette Seiten und Gruppierungen die solches Knowhow besitzen und verbreiten , man muss nur wissen wo ma suchen sollte.

Auch wenn es einigen nicht gefällt , Linux ist zwar prinzipiell sicherer als Windows was Viren angeht , aber vom Exploit zum Virus sind für einen guten Coder nur ein paar Liter Kaffee .

Es ist wohl definitiv mehr Aufwand als bei Windows , und ein Virus , Wurm oder was auch immer wird wohl weniger Opfer bekommen als ein Windows Tier , weiter wird die Verbreitung unter Umständen auch schneller von Patches gestoppt werden als das unter Windows der Fall ist , aber es ist nicht unmöglich .

Und vermutlich auch nur eine Frage der Zeit bis es mal einer beweißt .

Jeder Mensch der sich intensiv mit dem sichern von Systeme damit beschäftigt , wird mir recht geben , dass ein System , dass eben noch als sicher galt , durch einen kleinen Fehler plötzlich offen wie ein Scheunentor sein kann .

Viele haben Beispiele gebracht wie es nicht geht.
Na und ? Es reicht auch genau ein einziger Weg wie es doch geht .

Borderlinedance
14.09.2005, 14:08
Also zu dem Thema möcht ich auch noch was schreiben.

Linux basiert auf UNIX, genau wie OS-X, BSD und andere.
Und wer's nicht schon weiss, sogar Win2k hat (zum teil) ein UNIX Kernel.
Um genau zu sein, hat Win2k zum teil einen FreeBSD Kernel.

Viren gibts schon lange, auch solche für UNIX.
Linux ist im vorteil, den Kernel gibts ja auch erst seit 1991.
Aber selbst wen die Viren nicht greifen, (egal für welches OS) sie landen auf der Platte. Und das ist Müll!

Ein richtig guten Bericht zu diesem Thema hab ich bei Symantec gefunden.
Wer ihn ganz liest, ist/wird schlauer.
http://www.symantec.com/region/de/loesungen/macsicherheit.html

Wer noch keinen Virenscanner auf seinem Linux hat, sollte villeicht ClamAV installieren.
- Der ist OpenSouce.
- Kompatiebel mit vscan.
- Und es gibt ihn für Linux, Mac und Windows.

Link und Info bei Wiki:
http://de.wikipedia.org/wiki/ClamAV

liquidnight
14.09.2005, 16:11
Auch wenn es einigen nicht gefällt , Linux ist zwar prinzipiell sicherer als Windows was Viren angeht , aber vom Exploit zum Virus sind für einen guten Coder nur ein paar Liter Kaffee .
Es ist wohl definitiv mehr Aufwand als bei Windows , und ein Virus , Wurm oder was auch immer wird wohl weniger Opfer bekommen als ein Windows Tier , weiter wird die Verbreitung unter Umständen auch schneller von Patches gestoppt werden als das unter Windows der Fall ist , aber es ist nicht unmöglich .
Und vermutlich auch nur eine Frage der Zeit bis es mal einer beweißt .


Unter Betrachtung eines statischen Zustands gebe ich Dir recht. Unter Betrachtung der ökonomischen und gesellschaftlichen Randbedingungen und der Eigenschaft, dass die OS-Welten einem stetigen Wandel unterworfen sind, glaube ich aber noch, dass die Linuxe etwas besser dastehen.

Als Beispiel nehm ich mir den neuesten PixMap-Exploit im X-Server her:
http://www.securityfocus.com/bid/14807
http://www.gentoo.org/security/en/glsa/glsa-200509-07.xml
http://bugs.gentoo.org/show_bug.cgi?id=105688
https://bugs.freedesktop.org/show_bug.cgi?id=594

Kaum wurde eine Methode bekannt, wie man den Server über einen Buffer overflow crashen kann, war es auch schon korrigiert und die fixes unterwegs. D.h. ich war schon am x-server neu-emergen, bevor ich der gefahr überhaupt bewusst wurde(1,5d). So etwas finde ich, ist bei einem elementaren, wichtigen und weitverbreiteten System wie dem x-server schon eine sehr gute Leistung. Ich würde keiner Firma zugestehen, in einem solchen Fall genauso schnell zu reagieren. Sicher kommen solch schnelle Reaktionen von Firmen vor - aber es kommt auch vor, dass bekannte Sicherheitslücken offen gelassen werden.

Ich als Anwender will nicht von dieser Firmenpolitik (die oft vom Marketing bestimmt wird), abhängig sein und mir dadurch Sicherheitslücken einhandeln. Die Nichtweiterleitungspolitik einer bestimmten Firma :-) ist hier besonders fatal. Auch das von den Firmen praktizierte Security-by-Obscurity ist mir nicht genehm, das sollte doch wesentlich eher durch ordentliche Verfahren ersetzt werden. Insofern habe ich also kein Vertrauen in Firmen, die irgendwas mit Sicherheit herstellen, aber an allen Ecken und Enden Geld (Personalkosten) sparen wollen.

Ziel einer erfolgreichen Systemübernahme ist ja nicht die Systemübernahme an sich (dieses Ziel haben die ehrenvollen Hacker), sondern der Job, den das übernommene System danach machen soll. Dabei kann es sich um Dienste handeln (spam, warez, ddos) oder auch um das Kopieren lokaler Daten. Wer also auf diesem Weg erfolgreich sein will, muss entweder: bestimmte einzelne Maschinen mit besonders wertvollen Daten im Auge haben, oder auf den "Massenmarkt" schauen. Für "uns", die Anwender ist letztere Kategorie die gefährliche.

Und dagegen hilft es immens, wenn man bei dem Wettlauf des Lückenschließens nahe am "cutting edge" bleiben kann. ---> hier scheint die nichtkommerzielle Variante Systemvorteile zu haben.

sono
14.09.2005, 16:44
Und dagegen hilft es immens, wenn man bei dem Wettlauf des Lückenschließens nahe am "cutting edge" bleiben kann. ---> hier scheint die nichtkommerzielle Variante Systemvorteile zu haben.

Ja und nein.

Das sind oft Zufälle mit denen mal sowas entdeckt. Ich hab zum Beispiel mal was entdeckt mit dem ich über einen bestimmten Browser ein Shellscript ins System einschleusen konnte .
Lustigerweise habe ich das entdeckt als ich eigentlich gerade ein Script geschrieben habe , dass Bilder verarbeiten sollte.

Wenns ein "Guter" entdeckt, zuerst die Entwickler informiert und dann irgendwann mal endlich was veröffentlicht , wenn die Patches stehen , dann geht das gut .

Aber angenommen "ein Böser" Bube har ne Lücke im Kernel der Aktuellen Suse oder Ubuntuversion oder was auch immer entdeckt, den Code bekomme er ja Freihaus , und Tools schreiben die Software (codes) auf Bugs und Lücken testet ist ab einem bestimmten Kentnisstand ohne weiteres möglich .

Vielleicht die Verarbeitung eines manipuliertens Packetes des Protokolls X führt zu einem Bufferoverflow mit direkter Ausführung des Angehängten Code.

Er schaut den Bugtracks , noch nicht bekannt , ok passt .

Macht sein Anjuta auf , nimmt seine fertigen Module Klassen und past sich ein Programm auf den Bug an und schon steht das Exploit .

Wenn er sich jetzt eine Routine einbau schnell noch einen kleinen Virus hochläd , denn er dann als Modul in den Kernel einbindet , oder wie auch immer im System versenkt und verstecken . Bingo .

Ok er muss nebenbei die Logfiles manipulieren , muss auf die bekanntesten Hashprogramme prüfen (aide usw) muss bekannte logprogramme erkennen , usw . Da hängt direkt mal ein netter Rattenschwanz dran , das kann man aber unabhängig vom Exploit coden.

Also fassen wir zusammen , ein fertiges Schadprogramm mit dem man das system kontrollieren kann , wenn man es als root reinbekommen.

Man bekommt ein Exploit in die Hand, dass erst mal nur in dunklen Kreisen unterwegs ist . got root , file up und fertig .

Für jemand der sich damit auskennt soll das nicht ganz so schwierig sein.

Wobei wie du schon erwähnt hast mit :

1 :Alles erst mal nur graue Theorie
2 :Wesentlich mehr Aufwand als unter Win
3 :Weniger potentielle opfer
4 :Wenig Zeit zum verbreiten wenn die Lücke mal bekannt ist

Hier stellt sich also nicht die Frage ob technisch machbar sondern eher ob ökonomisch sinnvoll würde ich mal vermuten , was dir geringe Zahl an Viren zu bestätigen scheint .

sono
21.09.2005, 17:01
Ich hab direkt mal was über nen aktuellen Linuxvirus entdeckt .

Womit die Frage sich erledigt hätte :

http://www.pcwelt.de/news/sicherheit/120461/

bananenman
21.09.2005, 17:48
die pcwelt war früher mal eine gute fachzeitschrift - inzwischen ist sie fast blödsinniger als die computerbild. der linux.rts/b wurde am 23.04 2002 entdeckt und ist seit dem in jedem antiviren-update enthalten. bei kasperky ist dieser thread nur mit langwierigem suchen zu finden - so aktuell ist er. mein fazit: das sommerloch hat mal wieder dazu geführt, dass ein uralter thread in verbindung mit einem beinah als antik anzusehendem fund plötzlich dafür herhalten muss, die 200 seiten magazin mit irgendeinem mittelmäßigen blödsinn vollzuschreiben.

die verbreitung des linux.rts/b tendiert stark gegen 0 - kein wunder, wenn er seit über 3 jahren von jedem scanner erledigt wird. im übrigen führte die /b-variante keinerlei schadcode aus sondern öffnete "lediglich" eine backdoor, die dem rechner mit der ip 207.66.155.21 zugang verschaffen sollte.

für solcherlei nachforschungen kann ich das symantec-viren-archiv empfehlen - man mag zu symantec stehen wie man will, das archiv ist gut und sinnvoll geführt.

Cyber
22.09.2005, 16:32
Und wo wir grad beim Thema sind:



Mozilla-Mirror lieferte infizierte Software aus [Update]

Die Mozilla-Foundation warnt auf ihrer Sicherheitsseite, dass ein Mirror virenverseuchte Pakete ausgeliefert hat. Es handelt sich um die koreanisch lokalisierten Linux-Versionen der Mozilla Suite 1.7.6 sowie des Thunderbird 1.0.2. Diese waren auf einem koreanischen Download-Mirror mit dem Virus Linux.RST.b infiziert.


Der Artikel: http://www.heise.de/newsticker/meldung/64170

Borderlinedance
22.09.2005, 17:55
Für UNIX Uhser ist im momment eigentlich nur zweitrangig, ob es Viren für ihr OS gibt oder nicht.

Primer wichtig ist aber das es Viren für ander Beribsystem gibt, die auf UNIX zwar nicht greifen, aber troz dem auf der Festplatte vom rechner landen.

Kurz und klahr heist das, dass ein UNIX Rechner sobald er am Internet angeschlossen wird, zu eine Viren-Tauschbörse wird.

Und der User dann Super-Verseuchte E-Mail's versenden kann.
Den UNIX Uhser stört das nicht, die Viren sind für ihn inacktiv.
Aber wenn das Mail auf einem zb. Windows Rechner landet ist die Hölle los.

Die Bekanten und Verwanten werden sich freuen.

Xanti
22.09.2005, 18:19
Mit Verlaub gesagt: Was für ein Käse.


Kurz und klahr heist das, dass ein UNIX Rechner sobald er am Internet angeschlossen wird, zu eine Viren-Tauschbörse wird.

Das erklär mal bitte.



Und der User dann Super-Verseuchte E-Mail's versenden kann.
Den UNIX Uhser stört das nicht, die Viren sind für ihn inacktiv.
Aber wenn das Mail auf einem zb. Windows Rechner landet ist die Hölle los.


MS-Mail-Viren verschicken sich in der Regel selber weiter, dazu benötigen sie aber ein verwundbares Windows-System. Wie soll da bitte ein Unix-System als Schleuder missbraucht werden?

Gruss, Phorus

sono
22.09.2005, 23:10
Ich vermute mal er meint jetzt sowas wie diese netten kleinen Powerpoint präsentattionen mit macroviren von denn man als Linuxuser nichts merkt , die Windowsuser dann aber doch .

Etwas anderes fällt mir dazu auch gerade nicht ein , denn ich müsste ja das Zeug weiterschicken.

Ansonsten gibts noch die Möglichkeit von wegen Emule und Viren , aber das ist keine Problem von Linux , sondern eher ein allgemeines Problems des "Mediums" Emule , Email oder was auch immer .

Ob man jetzt also per Windows oder per Linux Viren an bekannte oder Verwandte weiter "vermittelt" sollte einen also im endefekt gleichunbeliebt machen mit dem kleinen Unterschied , das man unter Linux wenigstens nicht selbst betroffen ist :devil:

Xanti
22.09.2005, 23:21
Ich vermute mal er meint jetzt sowas wie diese netten kleinen Powerpoint präsentattionen mit macroviren von denn man als Linuxuser nichts merkt , die Windowsuser dann aber doch .

Das macht Sinn. Davon abgesehen, dass ich solche Formate weder angucke, geschweige denn weiterschicke, scheint dies aber nicht die Hauptverbreitungsmöglichkeit von MS-Viren zu sein.

Gruss, Phorus

liquidnight
23.09.2005, 00:12
Für UNIX Uhser ist im momment eigentlich nur zweitrangig, ob es Viren für ihr OS gibt oder nicht. benutzt du diese rechtschreibung demonstrativ ? was willst du damit ausdrücken ? ich komm net ganz mit :-)


Primer wichtig ist aber das es Viren für ander Beribsystem gibt, die auf UNIX zwar nicht greifen, aber troz dem auf der Festplatte vom rechner landen.
Kurz und klahr heist das, dass ein UNIX Rechner sobald er am Internet angeschlossen wird, zu eine Viren-Tauschbörse wird.

das ist falsch. wie soll bei mir ein virus "landen" ?? e-mails mit potentiell virenverseuchtem zeugs (.exe) lösche ich, weil ich eh nix damit anfangen kann. und solange es beim openoffice keine gscheite viren gibt, wird mein system erstmal nicht zur virenschleuder. und sobald es openoffice-viren gibt, wende ich entweder nen virenscanner an oder verwende kein openoffice mehr. d.h. mit ein paar grundregeln kann man seine kiste virenfrei halten.



Und der User dann Super-Verseuchte E-Mail's versenden kann.
Den UNIX Uhser stört das nicht, die Viren sind für ihn inacktiv.
Aber wenn das Mail auf einem zb. Windows Rechner landet ist die Hölle los.
Die Bekanten und Verwanten werden sich freuen.
1. guck ich dass ich keine viren verschicke, weil sich die dinger einfach nicht lange halten auf meiner kiste.

2. wenn so was mal vorkommt (*.ppt), dann hat derjenige halt pech gehabt. wenigstens ist meine kiste nicht infiziert und infiziert auch keine dateien, die vorher sauber waren.

Borderlinedance
23.09.2005, 06:48
Tja sorry für meine Schreibweise.

Sono hat das mit den Viren schon richtig verstanden.
Die gefahr ist die, das WIR Unix Nutzer nicht merken wenn wir einen solchen Virus einfangen.
Es könnten hunderte ja tausende sein, und wir würden es nicht merken.
(Die lümmeln dan auf unserer Festplatte rum, und mmutieren ev auch noch) ;P
Würden von Heute auf Morgen ALLE nur noch ein Unixsystem nutzen, könnte das natürlich auch wirklich allen scheiss egal sein.
Aber wird ja nicht so sein.
(Ausser dem gibt es ja für Apple, auch schon einige Viren.) :(

Desswegen sollten alle Unix Nutzer zum Wohl aller andern (und auch für sich), ein Virenscanner insatllieren.
Muss ja keiner gleich gekauft werden, besser eine schlechter Virenscanner als gar keinen.

Für irgend was gibt es ja: Zebra, CalmAV und ClamXav.

liquidnight
23.09.2005, 13:13
Tja sorry für meine Schreibweise.
Sono hat das mit den Viren schon richtig verstanden.
Die gefahr ist die, das WIR Unix Nutzer nicht merken wenn wir einen solchen Virus einfangen.

wieso sollten wir das nicht merken ? einige leute haben intrusion detection systeme am laufen, die werden so was schon merken. die gefahr kann man zzt noch als sehr gering einstufen. wie sollte ein virus eindringen, kannst du mir den von dir vorausgesetzten weg nennen bitte ?



Es könnten hunderte ja tausende sein, und wir würden es nicht merken.


auch falsch. ein virus hat auch eine nutzlast, d.h. irgendwas muss der machen. und die aktivitäten merkt man, weil sie ressourcen abziehen. spätestens bei mehreren viren. der aufwand, den ein virus treiben muss, um sich unter unix zu verstecken ist, schon mal nicht gerade gering. --> großer code-block.



(Die lümmeln dan auf unserer Festplatte rum, und mmutieren ev auch noch) ;P
Würden von Heute auf Morgen ALLE nur noch ein Unixsystem nutzen, könnte das natürlich auch wirklich allen scheiss egal sein.
Aber wird ja nicht so sein.
(Ausser dem gibt es ja für Apple, auch schon einige Viren.) :(


aussage haltlos, da die voraussetzung fehlt. ich weiß z.b. dass auf meiner kiste kein virus rumlungert. d.h. die wahrscheinlichkeit dafür ist ähnlich hoch, wie die , dass mir der himmel auf den kopf fällt. ganz ausschließen kann man beides nicht.



Desswegen sollten alle Unix Nutzer zum Wohl aller andern (und auch für sich), ein Virenscanner insatllieren.
Muss ja keiner gleich gekauft werden, besser eine schlechter Virenscanner als gar keinen.
Für irgend was gibt es ja: Zebra, CalmAV und ClamXav.

schluss falsch, da voraussetzung falsch. ein virenscanner wiegt den benutzer in einer falschen sicherheit, denn der scannt auch nur die dinger, die bereits bekannt sind. besser ist es jedoch, bekannte sicherheitslücken schnell zu schließen. wer das macht, ist nur noch durch angriffe von viren betroffen, die aufgrund von code-analyse geschrieben wurden und eine noch unbekannte schwachstelle ausnutzen. und davor schützt ein virenscanner schon gar nicht.

SchwarzerLotus
23.09.2005, 15:23
also alle virenscanner für unix sollen angeblich nur nach windowsviren scannen hab ich gehört?

und was macht es mir denn, wenn ein windowsvirus auf meinder disk landet?
ja klar, freundlich ist es nicht gerade, wenn der weiterverschickt würde, aber wenn diese menschen, die ihn dann bekommen linux verwendet gehabt hätten, dann wäre da wohl auch nix passiert!

und warum soll jemand einen virus für linux schreiben?

es gibt ja bekanntlich 3 arten von virenprogrammierern (mit allen, also auch würmer, trojaner etc.):
die, die schaden wollen
die, die sich bereichern wollen
und die, die einfach beweißen wollen, dass sie's drauf haben

von den ersten beiden wird sich keiner auf unixsysteme konzentrieren, warum auch, wenn es 1000 mal mehr windowsopfer gibt und man es auch noch weit einfacher hat!
und die dritte gruppe wird wohl so ehrbar sein, dass ihr virus nur die information gibt, dass er da ist und nicht das system auf den kopf stellen

ja und viren kann man immer schreiben, egal für welches system...
und ich bin mir sicher, dass es ein paar herrvorragender hacker bzw. virenprogrammierer gibt, die sowas ohne probleme schaffen...

theton
28.09.2005, 11:56
Also kann man doch als Fazit sagen: Es gibt Viren und Wuermer fuer Linux, die aber nicht sonderlich viel Schaden anrichten koennen, wenn man ein paar Regeln beachtet.

1. Arbeite nie als root, sondern benutze sudo, wenn du mit Konfigurationen und aehnlichem Systemkram zu tun hast.
2. Installiere dir einen Virenscanner.
3. Lege deinen Daten nicht mit den Rechten so ab, dass sie dem User gehoeren, mit dem du per default arbeitest, sondern speichere und oeffne Dateien mit einem kleinen Script, das erst, wenn es wirklich noetig ist die Rechte auf den aktuellen User setzt, sofern dieser dazu berechtigt ist.
4. Installiere dir ein IDS. Nicht nur um Viren auszufiltern (ja, auch das koennen IDS wie snort mittlerweile mehr oder weniger gut), sondern auch um Angriffe rechtzeitig zu bemerken und zu verhindern.
5. Installiere die ein Systemintegritaetstool um Aenderungen an Dateien moeglichst schnell zu bemerken und im Zweifel rueckgaengig zu machen.
6. Lasse sicherheitskritische Programme (wie z.B. Server-Applikationen) in einer chroot-Umgebung laufen.

Ich denke, dass man relativ sicher ist, wenn man sich an diese Regeln haelt. Dass man heutzutage eine Firewall hat (natuerlich nicht gegen Viren, sondern gegen direkte Angriffe), setze ich einfach mal voraus. Ansonsten gibt es ja im Netz ausreichend Tips, wie man ein Linux-System relativ sicher machen kann. (Systemusern keine Shell geben in der /etc/passwd usw.) Den perfekt sicheren Rechner wird es wohl auf unbestimmte Zeit nicht geben. Schliesslich gibt es immer wieder Programmierer, die nicht wissen, wie man ein Exploit programmiert und daher auch nicht wissen, was man machen kann um Exploits keine Angriffsflaeche zu bieten. Ausserdem sind auch Programmierer nur Menschen, die ab und an mal einen Fehler machen.

MrFenix
28.09.2005, 13:14
Wie ist das eigentlich.. Exploits können doch eigentlich nur root Rechte bekommen, wenn sie root Anwendungen befallen. Für den Source, den ein normales exploitetes Programm ausführt müssten doch eigentlich die normalen User Rechte weiter gelten..
Außerdem noch etwas: Bei Linux Exploits kommt erschwerend hinzu, dass so zimlich jedes Linux unterschiedlich compilierte Packete hat. Ich hab selbst mal einen kleinen Overflow in nem extra dafür geschriebenen Programm erzeugt und beobachten können, wie schon 1 anderer Compilerflag die Speicheradressen so verschoben hat, dass der Exploit unbrauchbar wurde (man muss sich ja mühsam das EIP Register ausm Ram rausbasteln, wenn man exploiten will , und dieses dann mit einer passenden adresse überschreiben..)

sono
28.09.2005, 14:16
Wie ist das eigentlich.. Exploits können doch eigentlich nur root Rechte bekommen, wenn sie root Anwendungen befallen.

Das stimmt im Prinzip schon , nur wenn jemand sich per Exploit eine Shell öffnen kann mit den Rechten von Bind , Apache oder welchem Server auch immer , dann kann er theoretisch von da aus ein weiteres Expoit starten , dass dann von da aus einen internen dienst mit rootrechten anfällt.

Wie gesagt theoretisch. Praktisch muss dann auch noch ein vewundbarer Dienst mit rootrechten laufen , und der angefallenene Server , Dienst oder was auch immer darf in keiner Chroot laufen , sonst kommt man auch nicht allzuweit .

usw.

Borderlinedance
03.10.2005, 06:36
Ich stell mir da immer ein Linux/UNIX Virus vor, der den FTP_Serfer Acktiviert und das root_Passwort ändert. LOL
Das dürfte sicher bei Apple besonders "lustig" sein.
Aber auch zb. SuSE User die ihre DVD auf die Platte kopieren, dürften da ziemlich gefärdet sein.


Denkt mal drüber nach.

proggi
03.10.2005, 12:58
Ich stell mir da immer ein Linux/UNIX Virus vor, der den FTP_Serfer Acktiviert und das root_Passwort ändert. LOL
Das dürfte sicher bei Apple besonders "lustig" sein.
Aber auch zb. SuSE User die ihre DVD auf die Platte kopieren, dürften da ziemlich gefärdet sein.


Denkt mal drüber nach.

Hä? Was wilslt du jetzte? Sry, aber ich verstehe nicht, was du uns jetzt sagen wolltest. Wieso sollte es bei Macusern lustig sein? Das ist ein Unixsystem. Kein Linuxsys.

Und wieso sind SuSe-User gefährdet, die ihre ISO-Images mounten oder den Inhalt der DVD unverständlicherweiße gleich komplett kopieren.

Mir kommts solangsam vor, als würdest du uns verar*****. Erst beschwerst du dich über Gentoo und dann tust du so als ob du auch nur eine leise Ahnung von Linuxviren hättest. Sry, aber kommt so rüber.

Andrea
03.10.2005, 16:23
Es könnten hunderte ja tausende sein, und wir würden es nicht merken.
(Die lümmeln dan auf unserer Festplatte rum, und mmutieren ev auch noch) ;P

Hallo,

nur mal interessehalber... geht das ???

Der Code müsste doch irgendwie ausgeführt werden oder? Und wenn er für Windows geschrieben ist, kann er doch nicht unter Linux laufen und sich ändern???

Mein Denkfehler oder nicht?

Andrea

Xanti
03.10.2005, 16:27
...
Denkt mal drüber nach.

Ich denke gerade darüber nach, wie alt Du bist.

Lord Kefir
03.10.2005, 16:32
Da schaut man mal 'ne Woche unregelmäßig auf's Board und dann passiert so etwas... :devil:

Wie soll denn bitteschön ein Windows-Virus bei mir mutieren? Unter wine?! http://os.newsforge.com/article.pl?sid=05/01/25/1430222&from=rss

Mal davon abgesehen: ich fühle mich nicht gerade angesprochen, wenn Du uns als UNIX-User bezeichnest. Aber jetzt werde ich pingelig...

Mfg, Lord Kefir



Ich denke gerade darüber nach, wie alt Du bist.
Komm, dass mit dem Alter ist fies... :D

Borderlinedance
03.10.2005, 17:00
Hey, Lord Kefir!
Super Link ! :]


Hä? Was wilslt du jetzte? Sry, aber ich verstehe nicht, was du uns jetzt sagen wolltest. Wieso sollte es bei Macusern lustig sein? Das ist ein Unixsystem. Kein Linuxsys.

Und wieso sind SuSe-User gefährdet, die ihre ISO-Images mounten oder den Inhalt der DVD unverständlicherweiße gleich komplett kopieren.

Mir kommts solangsam vor, als würdest du uns verar*****. Erst beschwerst du dich über Gentoo und dann tust du so als ob du auch nur eine leise Ahnung von Linuxviren hättest. Sry, aber kommt so rüber.

Du hast recht, das MacOS ist kein Linux, aber UNIX, genauer ein BSD.
Wenn bei einem Mac das Häckchen zum acktiviern vom FTP_Server gemacht wurde, und man sich als superuser die fpt seite öffenet, hat man lese und schreib möglichkeiten auf fast alle Order die sich da auf der Festlpatte befinden.

Bei einem Virus bzw. Virus wie ich ihn beschrieben hab, htte das fatale auswirkungen für den User.

Bei einem zb. SuSE mit gemounteter DVD, kann ein FTP_Server voll installiert werden ohne das man aufgefordert wird eine CD/DVD einzulegen.

Ich wollte mit diesem Beispiel blos zeigen, das bei vielen UNIX Systemen ein weitaus grösseres Loch gerissen werden kann, als bei Windows.


Und zu den Windows Viren:

Ich haben diese in meinem Lezten Beitrag zwar nich gemeint, aber...

Man sollte bedenken das der Kernel von Windows2000 zum teil von einem FreeBSD stammt. Bei XP wird sich das nicht viel verändert haben, im Gegenteil.
Ein Virus der den Windows Kernel angreift, ist also auch eine Gafahr für uns.

Dann ist da auch noch WineHQ, das es für fast alle OS gibt, auch Windows.
Ein Virus der WineHQ angreift, birg bestimmt eine genau so fatale Gefahr, wie ein Blauzahn Virus.

AceX5
03.10.2005, 17:31
Deine Postings zeigen, dass du über eine vielleicht doch eher ungesunde Portion Halbwissen verfügst. Wenn das hier Heise wäre, hätten die viele schon längst Troll gerufen. Anstatt uns mit solchen Postings zu belästigen, schreibe sie in Zukunft auf ein Blatt Papier, welches du im Anschluss unverzüglich verbrennst, ok? :headup:

Andrea
03.10.2005, 17:33
Hallo,

ich glaube du vergisst, dass der Virus erstmal etwas tun muss...
Angenommen, ich schreibe einen Virus, der diverse Systemdateien loescht. Wenn er unter Win per exe oder direkt gestartet wird, klappt das unter Linux nicht. Andersrum klappt es nicht, wenn er fuer Linux ist und auf ein Windows System trifft.

Selbst wenn es ginge, waere dann das Problem, dass die Dateien an voellig unterschiedlichen Orten liegen...

Daher ist es auch voellig egal, ob dieser Virus per Bluetooth, Mail oder sonst woher kommt... Daran aendert auch der Kernel nichts...

Andrea

Borderlinedance
03.10.2005, 17:38
Hallo,

ich glaube du vergisst, dass der Virus erstmal etwas tun muss...
Angenommen, ich schreibe einen Virus, der diverse Systemdateien loescht. Wenn er unter Win per exe oder direkt gestartet wird, klappt das unter Linux nicht. Andersrum klappt es nicht, wenn er fuer Linux ist und auf ein Windows System trifft.

Selbst wenn es ginge, waere dann das Problem, dass die Dateien an voellig unterschiedlichen Orten liegen...

Daher ist es auch voellig egal, ob dieser Virus per Bluetooth, Mail oder sonst woher kommt... Daran aendert auch der Kernel nichts...

Andrea

Nee das is ja das giftige/miese. Der Virus muss gar nichts tun, er kann inacktiv bleiben.
Er kann sich so-zu-sagen auf deiner Platte eine Pause gönnen.
Bis er mit deiner Post versendet wird, und auf das passende System trifft.

Ausser dem, redest du von Windows Viren.
Es gibt abr nicht NUR Viren für Windows!
Viren gab's schon für den C64.
Und genau so gibt's auch ziemlich viele Viren für Mac.
-> somit auch für BSD!
Und es gibt natürlich auch Viren für Linux.

Rafer
03.10.2005, 18:15
@Borderlinedance

Bevor hier jemand über DEINE Postings nachdenken sollte, denke DU lieber erstmal über deine Postings nach und werde dir mal bewusst was du für einen "Käse" schreibst.

Hol dir erstmal ein paar Infos ein anstatt mit deinem Halbwissen hier den Larry zu machen das ist ja nichtmehr zum aushalten...

Wir sind hier nicht im Heise Forum!

p.s: Denk mal drüber nach was dein Nick bedeutet, du solltest dich schämen.

devilz
03.10.2005, 18:28
Hmmmm ... also so langsam is das Sandkastenreif ....

Wenns so weitergeht landet der da auch !

tsuribito
03.10.2005, 18:34
Ich stell mir da immer ein Linux/UNIX Virus vor, der den FTP_Serfer Acktiviert und das root_Passwort ändert. LOL
Ich stell mir da immer nen Linux Virus vor, der erstmal mein Root Passwort zerlegen muss ohne meinem Rootkitdetektor aufzufallen, dann muss der auch noch schlauer sein als jedes Paketsystem und Konfigtool und tatsächlich nicht nur erraten welchen ftp server ich habe, wo dessen Startskripte bei meiner Distro sind und das ganze noch in nem Kompakten Virus. Ich freu mich auch zu hören wie er nen FTP Server installiert ohne meine Erlaubnis (root Passwort eingeben) wenn ich keinen habe.

btw dein MacOS Beispiel ist schlecht. Der Systemadmin hat auf manches Zugriff aber root, der richtig Schaden anrichten kann, ist standardmässig abgeschaltet.

MrFenix
03.10.2005, 19:29
Folgendes:
1. Woher soll der Virus kommen?
- Exploits sind auf Linux aus den schon erwähnten Gründen (unzählige Softwareversionen, massenhaft unterschiedlich compilierte Software etc.) bei Linux selten in großem Umfang ausnutzbar und äußerst kompliziert zu schreiben.
- Die meisten Benutzer von *NIX Systemen haben im Moment genug Ahnung nicht jeden Mist auszuführen, den sie per Mail erhalten und selbst wenn sie es tun würden, dann würden sie es nicht mit Rootrechten machen und der Virus müsste erst wieder irgendwas exploiten.
- Viren aus dem Autostart sind für Linux kaum bis garkeine Gefahr, da diese auch nur mit Userrechten ausgeführt werden würden und für sie das selbe wie oben gelten würde, zumal bei eigentlich allen Distributionen Automount != Autostart
- Hauptanlaufstelle für Viren die nicht per Exploit eingefangen werden sind bei Windows Viren aus illegalen Softwarepaketen oder zweifelhaften Internetinhalten. Illegale Software ist auf Linux so gut wie unbekannt und die Quellen für legale Software sind in fast allen fällen vertrauenswürdig (einer der Opensource Vorteile!). Die Browser die zweifelhafte Internetseiten öffnen werden auch nur als User ausgeführt, daher siehe oben.
2. Was soll der Virus machen?
- Der Autostart ist bei Linux nicht so versteckt wie bei Windows, da keine Registry. Man kann wesentlich einfacher überprüfen was sich da startet und es gegebenfalls entfernen (zur Not mit Live-CD und chroot). Des weiteren ist der Autostart nicht einheitlich gelöst. Fast alle Distributionen verwenden unterschiedliche Startscripts und Initstyles, sodass es schon eine Programmiertechnische meisterleistung wäre einen Autostart zu schreiben, der auf allen Distries' funktioniert.
- Der Virus kann ohne Rootrechte auf den meisten Systemen nichteinmal einen festen Port öffnen um sich weiterzuversenden, daher muss er zwangsweise erst Rootrechte erlangen um "produktiv" zu werden. Diese jedoch sind nur per Exploit zu bekommen, da mind. 98% der gefahrbehafteten Anwendungen nicht als Root ausgeführt werden
- Falls er Rootrechte hat ist es ihm so gut wie unmöglich andere Software zu manipulieren, da es für fast jede Software mindestens ein alternatives Programm gibt, jene bei so zimlich jedem Rechner in anderen Verzeichnissen liegt, andere Konfig Dateien hat und es keine zentrale Stelle gibt herauszufinden, was installiert etc. ist (-> keine Registry!)
- Sollte es ein Virus doch schaffen andere Software zu manipulieren, dann wird diese meistens regelmäßig und auf distributionsabhängige Weise geupdated (wodurch wiederum die Änderungen verfallen würden)
- Eigene Serverdienste zu erstellen wird für ihn über dies hinaus meistens schwer werden, da die meisten *NIX Systeme durch Firewalls geschützt werden, die das nicht zulassen und wiederum auch erst manipuliert werden müssten, was wieder nur als Root geht.
3. Kann ein Virus von Windows auf Linux/BSD mutieren?
- Nein. Das hängt mit dem Bytecode zusammen. BSD und Linux benutzten andere Interrupts, andere Binärformate, andere Libraries und einen komplett anderen Systemaufbau im Gegensatz zu Windows.
- Wenn Teile des Kernels übernommen sind, bedeutet das, dass manche Routinen (z.B. die Speicherzuweisung) einen ähnlichen Kernelinternen Quelltext verwenden, was aber nicht heißt, dass sie mit den gleichen Funktionsaufrufen versehen sind oder sonst irgendwie kompatibel sind.
4. Kann ein nicht geöffneter Virus bei *NIX dafür sorgen, dass er weiterverbreitet wird?
- Dazu müsste er erst wieder eine andere Software per Exploit kompromitieren (vom "Hersteller" aus geht wegen OpenSource so gut wie nicht), was aus den oben genannten Gründen unwahrscheinlich ist.
- Der User des Systems könnte den Virus weiterschicken, was er aber wohl kaum mitwissend tun wird und was ohne sein Mitwissen auch unwahrscheinlich ist, da es keine einheitliche zu manipulierende Softwareschnitstelle (wie Outlook) hierfür gibt.
- Der Virus kann sich gar nicht / kaum in Dateien die auf Servern angeboten werden kopieren, da deren Standpunkt für ihn nicht herausfindbar ist [auch hier wieder bedingt durch uneinheitliche Softwareschnitstellen (z.B. von Rechner zu Rechner unterschiedliche Pfade der httpd.conf) ]

Borderlinedance
04.10.2005, 14:37
Hmm.. ich glaub ich muss devilz recht geben...


Hmmmm ... also so langsam is das Sandkastenreif ....

Wenns so weitergeht landet der da auch !
...nicht nur darum wird das wohl auch mein Lezter Beitrag in diesem Tread sein.

Fakt ist:
- Es gibt für jedes OS eine Virus und einen Virenscanner.
- Es wir in Zukunft noch mehr Viren geben.
- Neue Viren sind agrssiver, und genialer konstruirt.

Und für mich gilt:
- Vorsorge ist Besser als...
- Sag niemals NIE.

cu

edit:// Sorry MrFenix, nix gegen deine Beitrag.

Lord Kefir
04.10.2005, 16:52
Endlich nimmt die Sache ein Ende :)

Mfg, Lord Kefir