• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Thema Viren & Co.: "Mit Linux kann mir da nix passieren"

Den Spruch liest man immer wieder, aber ist es wirklich so?

Ok, die meisten Viren sind ja für Windows geschrieben und funzen daher nicht unter Linux. Wobei Server ja immer wieder kompromitiert werden - und die laufen oft unter Linux.

Aber: Java-Anwendungen laufen im Browser und damit auch unter Linux. Sind die Linux-Browser nicht ebenso anfällig für Schadsoftware wie ihre Windows-Gegenstücke?

Gut: Reine Text-e-mails dürften ohnehin keine Schadprogramme enthalten, aber ist es nicht - zumindest theoretisch auch möglich, bsp. über einen Anhang (pdf, jpg usw., wobei hier nur die Endung gemaint ist und nicht eine echte entsprechende Datei) auch unter Linux den Internet Browser zu kompromittieren? Und zwar ohne Umweg über root?

Von den heute üblichen "Werbe"-Mails mal ganz zu schweigen. Die sind auch oft genug prallvoll mit Bildern, Animationen etc.

Ich selbst kann das nicht beurteilen, aber da ich mir bei einem regulären Update unter XP anscheinend gerade einen Virus eingefangen habe lt. Antivir, bin ich auch bzgl. Linux ein klein wenig mißtrauisch geworden. Wäre ein XP innerhalb einer virtuellen Linux-Umgebung wirklich sicher? Es gibt - in anderen Foren - jedenfalls genug, die das behaupten.

Und ein klein wenig Paranoia kann ja auch nicht schaden, oder? :D
 

abgdf

Guru
Also, unter den 16 Millionen

http://www.faz.net/aktuell/gesellschaft/bsi-sicherheitstest-kriminelle-stehlen-passwoerter-von-16-millionen-benutzerkonten-12762061.html

war ich schonmal nicht, da ich meist mit Linux (sogar auf einem sehr alten) und nur sehr selten mit Windows surfe. Das hat mich doch schonmal gefreut.

Hier ist sogar ein Plädoyer dafür, daß es jedenfalls auf kleinen Distributionen nichtmal so schlimm ist, root zu sein:

http://puppylinux.com/technical/root.htm

Ansonsten:
http://ubuntuarmy.wordpress.com/2010/09/16/linux-vulnerability/

Immer schön JavaScript aus, wenn man's nicht braucht, keine Anlagen von fremden Leuten öffnen. Anlagen nicht ausführbar machen ("chmod -x anlage.doc"). "doc" mit abiword öffnen, wenn möglich. Dann sollte man eigentlich relativ sicher sein.

Als Problem sehe ich die Einbindung von Repositories und daneben automatische Updates: Wenn man aus Versehen ein falsches Repository einbindet, kann man sich sonstwas für Code in großen Mengen einfangen.
Ich lade also eine Distribution von der offiziellen Seite herunten oder kaufe eine DVD und lasse die dann so weit wie möglich so.
Es ist eigentlich sicherer, bzgl. Multimedia ggf. einzelne rpms herunterzuladen und die von Hand über "rpm -Uvh packet.rpm" zu installieren und die Abhängigkeiten von Hand aufzulösen.
Repositories sind natürlich bequem. Darin liegt die Gefahr.
YaST-OneClick-Installation war mir jedenfalls sehr unheimlich. Man darf dem Rechner nie die Kontrolle überlassen!
 

Feuervogel

Hacker
Hallo zusammen,

mal als Einstieg zur weiteren Diskussion hier folgender Link: Linux und Viren: Das Ende eines Märchens!

Daraus folgendes auszugsweise zitiert:

TmoWizard schrieb:
He Leute! Kommt endlich mal von eurem hohen Roß herunter, reißt endgültig euren Elfenbeinturm ein und landet mal auf dem Boden der Tatsachen! Linux ist nur bedingt sicherer wie Windows. Aber nur dadurch, daß es auf dem Desktop kaum verbreitet ist. Man sieht das ja gerade in letzter Zeit dadurch, daß immer mehr entsprechende Meldungen über Android kommen.

Ja, stellt euch das mal vor: Android ist auch ein Linux-System!

Ich möchte hiermit noch einmal darauf hinweisen, daß der Versender einer E-Mail für deren Inhalt auch verantwortlich ist! Das gilt natürlich ebenfalls für Linux, auch wenn viele Linux-“Jünger” das gerne anders sehen wollen. Es nützt nichts. Wenn ihr eine E-Mail oder Datei mit Schadware weiterleitet, dann seit IHR als Versender auch dafür zur Rechenschaft zu ziehen! Der Empfänger kann ja schließlich nichts dafür, wenn in euren Köpfen nur gähnende Leere herrscht.

Man sollte dabei auch nicht vergessen, daß es inzwischen Viren auf der Basis von Java gibt. Diese Programmiersprache hat nämlich den gewaltigen Fehler, daß sie weitgehend systemunabhängig ist. Das Selbe gilt auch für JavaScript, da dies eigentlich von so gut wie jedem Browser beherrscht wird. Von Flash und anderem Mist will ich jetzt gar nicht erst anfangen, das würde nur in einem Chaos enden!


Mein Fazit:

Auf jedes System gehört ein Virenscanner, auch bei Linux. Wer das nicht begreift, der sollte am besten seinen Rechner vom Netz nehmen. Solche Leute sollten endlich einmal in’s Visier von Anwälten kommen, sie haben es einfach nicht anders verdient!

Gruß
Feuervogel
 
Hallo!
Heute habe ich installiert avast, siehe die Konsole Ausgabe unten
Code:
zypper se -i avast
Daten des Repositories laden ...
Installierte Pakete lesen ...

S | Name              | Zusammenfassung  | Typ  
--+-------------------+------------------+------
i | avast4workstation | avast! antivirus | Paket
habe dann die Virendatenbank aktualisiert und scan durchgeführt.

Hier das Ergebnis Bildschirmfoto
Habe ich jetzt ein Virus unter home/bbb_suse131/.googleearth/Cache/webdata/f_0000ca :???:

Grüße Heinz-Peter
 

Jägerschlürfer

Moderator
Teammitglied
was spricht dagegen, die Datei einfach bei einem Onlinescanner hochzuladen und testen zu lassen?

Alternativ mal nach der Meldunge suchen bei google? Evtl ein bekanntes Problem, das du ignorieren kannst?
 
was spricht dagegen, die Datei einfach bei einem Onlinescanner hochzuladen und testen zu lassen?
Auf dem Screenshot ist der Bösewicht in der Datei default.kml versteckt und die Datei finde ich bei mir nicht. Hier nochmal der Pfad zu der Datei mit dem Virus:
Code:
/home/mein_homeAlternativ mal nach der Meldunge suchen bei google? Evtl ein bekanntes Problem, das du ignorieren kannst?
Das zip Archiv f_0000ca habe ich mit dem hier Onlinescanner geprüft und der hat nichts gefunden.

Alternativ mal nach der Meldunge suchen bei google? Evtl ein bekanntes Problem, das du ignorieren kannst?
Google habe ich mit dem Suchbegriff:
Code:
"googleearth/Cache/webdata/f_0000ca/default.kml"
bemüht, leider (oder vielleicht besser) kein Treffer.

Grüße Heinz-Peter
 

spoensche

Moderator
Teammitglied
Ja, Android ist ein Linuxsystem. Allerdings besteht Android aus zwei Teilen, dem Linux Teil, der nicht anfällig für Viren ist und der Anwendungsschicht, der Dalvik JVM. Alle Schadsoftware zielt bei Android auf die Dalvik JVM ab, um root Rechte zu erlangen.

Also werter TmoWizard, du liegst falsch.
 
Ich möchte hier einknüpfen zu meinem Beitrag von 2014-Feb-05, 17:12 über Virus in der Datei
Code:
 home/bbb_suse131/.googleearth/Cache/webdata/f_0000ca
Ich habe AVG antivirus installiert und die Konsoleausgabe sagt:
Code:
avgscan .googleearth/Cache/webdata/
AVG command line Anti-Virus scanner
Copyright (c) 2013 AVG Technologies CZ

Virus database version: 3684/7065
Virus database release date: Wed, 05 Feb 2014 14:55:00 +0100


Files scanned     :  266(266)
Infections found  :  0(0)
PUPs found        :  0
Files healed      :  0
Warnings reported :  0
Errors reported   :  0
Grüße Heinz-Peter
 

abgdf

Guru
Heinz-Peter schrieb:
Hier das Ergebnis Bildschirmfoto
Habe ich jetzt ein Virus unter home/bbb_suse131/.googleearth/Cache/webdata/f_0000ca :???:

Grüße Heinz-Peter
"home/bbb_suse131/.googleearth/Cache/webdata/f_0000ca" ist doch offenbar eine Datei im Cache von Google-Earth im /home-Verzeichnis. Warum sie nicht einfach löschen (und dann nochmal scannen)?
Wäre es schlimm, wenn Google-Earth bei dem Nutzer u.U. beeinträchtigt wäre?
 

wirrwarr

Hacker
abgdf schrieb:
"home/bbb_suse131/.googleearth/Cache/webdata/f_0000ca" ist doch offenbar eine Datei im Cache von Google-Earth im /home-Verzeichnis. Warum sie nicht einfach löschen (und dann nochmal scannen)?
Vielleicht lieber auf USB-Stick sichern. Also da wo nicht mit dem Virenscanner gescannt wird.

Ich selber nützte auf meinem Haupt-Rechner auch ein Antivirusprogramm. Schon allein deswegen, weil ich mit Windows Nutzer Daten tausche. Das wäre sehr unprofessionell wenn mein System als Virenschleuder für Windowsen mißbraucht würde. :schockiert: Auch sind mir meine Sachen auf dem Rechner darauf wichtig.
 
abgdf schrieb:
Warum sie nicht einfach löschen (und dann nochmal scannen)?
AVAST kann es nicht, siehe Screenshot

Ich kann das ganze ZIP Archiv f_0000ca löschen aber nicht die Datei default.kml.

Hier nochmal der ganze Pfad zu der Datei.
Code:
home/bbb_suse131/.googleearth/Cache/webdata/f_0000ca/default.kml
wird das ZIP Archiv f_0000ca mit Ark geöffnet ist er aber leer.
Wo steckt also die default.kml Datei :???:
 

wirrwarr

Hacker
Versuch das Teil mal auf der Kommandozeile zu entpacken. Manchmal sieht man in der Konsole mehr.

Gruß wirrwarr
 
Also mit Kommando tar -tzf .googleearth/Cache/webdata/f_0000ca
Code:
gzip: stdin has more than one entry--rest ignored
tar: Das sieht nicht wie ein „tar“-Archiv aus.
tar: Springe zum nächsten Kopfteil.
tar: Child returned status 2
tar: Error is not recoverable: exiting now
klappt nicht

und mit zipinfo
Code:
 .googleearth/Cache/webdata/f_0000ca
Archive:  .googleearth/Cache/webdata/f_0000ca
[.googleearth/Cache/webdata/f_0000ca]
  End-of-central-directory signature not found.  Either this file is not
  a zipfile, or it constitutes one disk of a multi-part archive.  In the
  latter case the central directory and zipfile comment will be found on
  the last disk(s) of this archive.
zipinfo:  cannot find zipfile directory in one of .googleearth/Cache/webdata/f_0000ca or
          .googleearth/Cache/webdata/f_0000ca.zip, and cannot find .googleearth/Cache/webdata/f_0000ca.ZIP, period.
klappt auch nicht.

mit Kommando unzip -l f_0000ca
Code:
Archive:  f_0000ca
  End-of-central-directory signature not found.  Either this file is not
  a zipfile, or it constitutes one disk of a multi-part archive.  In the
  latter case the central directory and zipfile comment will be found on
  the last disk(s) of this archive.
unzip:  cannot find zipfile directory in one of f_0000ca or
        f_0000ca.zip, and cannot find f_0000ca.ZIP, period.
auch nicht

Grüße Heinz-Peter

EDIT: Ich habe mit .googleearth/Cache/webdata/f_000035 versucht,
siehe die Konsole-Ausgabe unten: ~/.googleearth/Cache/webdata> unzip -l f_000035
Code:
Archive:  f_000035
  Length      Date    Time    Name
---------  ---------- -----   ----
     1995  2013-04-23 14:31   ar.kml
     1995  2013-04-23 14:31   bg.kml
     1995  2013-04-23 14:31   ca.kml
     1995  2013-04-23 14:31   cs.kml
     1995  2013-04-23 14:31   da.kml
     1995  2013-04-23 14:31   de.kml
     1995  2013-04-23 14:31   el.kml
     1995  2013-04-23 14:31   en.kml
     1995  2013-04-23 14:31   es.kml
     1995  2013-04-23 14:31   fi.kml
     1999  2013-04-23 14:31   fil.kml
     1995  2013-04-23 14:31   fr.kml
     1995  2013-04-23 14:31   he.kml
     1995  2013-04-23 14:31   hi.kml
     1995  2013-04-23 14:31   hr.kml
     1995  2013-04-23 14:31   hu.kml
     1995  2013-04-23 14:31   id.kml
     1995  2013-04-23 14:31   it.kml
     1995  2013-04-23 14:31   ja.kml
     1995  2013-04-23 14:31   ko.kml
     1995  2013-04-23 14:31   lt.kml
     1995  2013-04-23 14:31   lv.kml
     1995  2013-04-23 14:31   nl.kml
     1995  2013-04-23 14:31   no.kml
     1995  2013-04-23 14:31   ro.kml
     1995  2013-04-23 14:31   pl.kml
     2007  2013-04-23 14:31   pt-BR.kml
     2007  2013-04-23 14:31   pt-PT.kml
     1995  2013-04-23 14:31   ru.kml
     1995  2013-04-23 14:31   sk.kml
     1995  2013-04-23 14:31   sl.kml
     1995  2013-04-23 14:31   sr.kml
     1995  2013-04-23 14:31   sv.kml
     1995  2013-04-23 14:31   th.kml
     1995  2013-04-23 14:31   tr.kml
     1995  2013-04-23 14:31   uk.kml
     1995  2013-04-23 14:31   vi.kml
     2007  2013-04-23 14:31   zh-CN.kml
     2007  2013-04-23 14:31   zh-TW.kml
      171  2013-04-23 14:31   default.kml
---------                     -------
    78028                     40 files
mit der klappt´s :roll:
 
OP
Systemcrasher

Systemcrasher

Hacker
So, habe mir den Avast! jetzt auch auf 2 Rechnern installiert: einem mit Suse 13.1 + XP und einem reinen Suse-Rechner (Suse 12.3).

Ich hatte auch Commodo getestet, aber ich mußte den Scan abbrechen, da er deutlich länger dauerte als ich dachte (mußte ins Bett). Danach ließen sich nicht mal mehr die Virensignaturen updaten. :(

Fazit: Schrott!

Aber nun zu Avast:

Auch hier mußte ich auf beiden Rechnern den Scan abbrechen, da es zu lange dauert (nachts will ich schlafen und kein Lüftergebrumme). Hier mußte ich lediglich den Reg-Schlüssel neu eingeben. - ok.

Gestern schaffte ich dann den ersten kompletten Scan (allerdings nur die Win-Partition).

Hier die erste "Überraschung": 2 mal brach der Scan wegen eines Fundes ab und fragte, ob in Quarantäne oder löschen. Natürlich löschen gewählt.

Jetzt kommts: Der eine Virus war im Gala-Poker-Verzeichnis, der andere im Party-Poker-Verzeichnis!

Man kann nun überlegen, ob die Viren über die offizielle Updatefunktioon eingenistet hat (dann hätte aber schon längst ein Riesen-Aufschrei im Netz stattgefunden) oder ob er sich dort später "von außen" eingenistet hat, z.B. um meine Hände abzufangen (würde erklären, warum ich gegen bestimmte Gegner - 2 davon eindeutig als BOT identifiziert - immer verliere, und zwar in den unmöglichsten Showdowns).

Kurioser ist aber der Rest: Haufenweise Archivbomben (was'n das?), Viren etc. v.A. in den Libre-Office-Verzeichnissen.
Kurios deshalb, weil ich unter XP auf diesem Rechner nie Office betrieben habe (das mache ich unter Linux) und weil es ein ehemaliger Firmenrechner ist, die Schadsoftware müßte schon von damals stammen.
Aber: Seit Jahren hat Antivir trotz regelmäßiger Suche nix gefunden!!!!

Also ist es fraglich, ob das wirklich Viren sind.

http://pastebin.de/39762

Interessant: Wieso lassen sich so viele Dateien mangels Berechtigung nicht scannen? Die könnten doch auch verseucht sein.

Übrigens habe ich das selbe Problem (keine Berechtigung) auch unter Linux, obwohl ich das als root aus der Konsole heraus starte!

Heftig wird es dann, weil der Scan der Linux-Partitiopnen jedesmal auf beiden Rechnern zum Totalabstutz führt - immer bei den selben Dateien (irgendwelche Systemdateine mit sehr vielen Nullen im Dateinamen).

Darüber hinaus: Laut Avast! sind beide Systeme total verseucht, v.A. in den Isos diverser Linux-Distries (immer von den Originalseiten geladen, also Suse 13.1 von Opensuse.org) finden sich alle möglichen Viren! :schockiert:

pastebin kommt später - vom anderen Rechner!

Ich kann das nicht glauben! Wenn es wirklich ein Virus geschafft hätte, in eine Linux-Iso zu gelangen, dann wäre das Geschrei nicht nur hier im Forum dermaßen laut, daß selbst mir das nicht hätte entgehen können.

Fazit: Auch Avast! traue ich nicht über den Weg - jedenfalls was die zuverlässige Erkennung betrifft!

Edit:

Hier nun die Linux-log:

http://pastebin.de/39764
 

josef-wien

Ultimate Guru
Vergiß die Pseudo-Verzeichnisse /dev, /proc und /sys, die gehören dem Kernel, liegen im Hauptspeicher, werden bei jedem Neustart neu erzeugt und enthalten durchaus auch Pseudo-Dateien, die nicht einmal root lesen darf.
 
Hallo Norman,

Systemcrasher schrieb:
Also ist es fraglich, ob das wirklich Viren sind.
Ist es das nicht immer auf allen Systemen?
Der beste Schutz vor Schadsoftware ist doch sowieso wenn man brain.exe bzw. /sbin/brain installiert hat.

Lieben Gruß aus Hessen
 
Oben