• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] Gefahren von außen

Conax

Hacker
Ich hatte die Woche folgende Situation Mitschülerin hatte an alle Schüler eine Liste geschickt mit den gesammelten Kontaktdaten aller Schüler. Am nächsten morgen sprach mich mein Banknachbar darauf an und meinte die Excel Tabelle sei mit einem Virus infiziert. Da er wohl unter Ubuntu (benutzt ebenfalls Linux) einen Virenscanner betreibt konnte er das natürlich kinderleicht feststellen. Jetzt ist die Sache die und zwar hab ich hier unter SUSE 11 gar kein Antivirenprogramm oder sonst irgendwas. Wir sollen jetzt die Liste ggf. verfolständigen und zurückschicken, vorher wollte ich das Ding aber nochmal durch nen Virenscanner jagen ob da wirklich was dran ist.

Welches Antivirenprogramm ist da zu empfehlen und was sollte man sonst noch beachten?

Mein Banknachbar hatte mir erzählt das bei Linux eher die Gefahr von rootkits ausgeht anstatt von Viren oder Würmern. Ist da was dran und was kann man dagegen tun?
 

donpedro

Hacker
"KlamAV (ClamAV) und "RKHunter" lasse ich drüber laufen. Wobei in Linux bei Viren usw. viel eher die Gefahr der Weiterverbreitung von Windows Schädlingen besteht. (Siehe Deine Exceltabelle.....)
 

nbkr

Guru
Conax schrieb:
Welches Antivirenprogramm ist da zu empfehlen und was sollte man sonst noch beachten?

Da kann ich auch nur empfehlen: ClamAV, gibt auch ein KDE Frontend dazu: KlamAV - ansonsten geht das Scannen über die Konsole.

Mein Banknachbar hatte mir erzählt das bei Linux eher die Gefahr von rootkits ausgeht anstatt von Viren oder Würmern. Ist da was dran und was kann man dagegen tun?

Die Aussage deines Banknachbarn kann man so stehen lassen. Viel Stress würde ich mir auf einem heimischen Desktoprechner deswegen aber nicht machen. Rootkits sind nicht so leicht zu installieren, man braucht selbst erstmal einen wirksamen Zugang zum System - das Rootkit dient dann nur dazu diesen Zugang zu erhalten bzw. zu verbergen. Für sowas ist bedeutend mehr kriminelle Energie erforderlich als für einen Wurm, der sich ja von selbst verbreitet.
 
KlamAV soll nicht schlecht sein, habe selbst derzeit keinen Virenscanner auf dem Desktop Rechner jedoch war einige Zeit mal AntiVir fuer Linux im Einsatz. Da dieser wohl ein recht guter der freien Virenscanner ist die auch in der Windows Welt bekannt sind, denke ich das die Linux Version auch nicht die schlechteste ist. Ich wuerde auch mal den Bekannten fragen was er unter Linux zum scannen verwendet hat und dir den Rat geben von online Virenscannern die Finger zu lassen. Es ist nicht gerade sinnvoll eine Adressenliste im Internet an diverse Onlinedinste wie File-Scanner zu senden.
 
OP
C

Conax

Hacker
Deswegen will ich ja den Scanner auf meinen PC damit solche sensiblen Daten nicht durchs Netz geistern. Langt schon dass das bei einigen Telekom Kunden der Fall ist. :roll:
Mir gehts eigentlich nur darum das es langt wenn einer (in dem Fall war es eine Sie von daher geh ich mal davon aus das wahrscheinlich ihr ganzer PC kontaminiert ist und Sie davon keine Ahnung hat) verseuchte Daten herumschickt

Auch wenn mir dieser Virus oder Wurm nichts anhaben kann sollte ich trotzdem mit gutem Beispiel voran gehen und saubere Daten verschicken.

Entdeckt KlamAV eigentlich auch rootkits?

Ich weiss zwar das man als normaler user eh keine Chance hat wenn es ein Hacker auf einen abgesehen hat aber so ein Programm gibt mir wenigstens das Gefühl das nicht jeder Skript Kiddie in mein System eindringen kann.

Ich hab letztens son Bericht vom ccc über Desktop Firewalls gesehen (war aber schon älter glaub ausm Jahr 2007). Das Resultat war das die Firwalls keinen Schutz bieten und das System ausbremsen.
 

donpedro

Hacker
Conax schrieb:
Entdeckt KlamAV eigentlich auch rootkits?

"rkhunter" = Rootkit Hunter

http://sourceforge.net/projects/rkhunter/

bzw. ganz unten als OpenSuse rpm:

http://rpm.pbone.net/index.php3/stat/3/srodzaj/1/search/rkhunter
 
OP
C

Conax

Hacker
Danke OnkelchenTobi aber ich hatte jetzt vorhin schon KlamAV installiert was einwandfrei bis jetzt funktioniert.

Ich hab jetzt mal rkhunter durchlaufen lassen und der brachte folgendes:

linux-zsoe:/etc/sysconfig # rkhunter -c

  • [ Rootkit Hunter version 1.3.2 ]

    Checking system commands...

    Performing 'strings' command checks
    Checking 'strings' command [ OK ]

    Performing 'shared libraries' checks
    Checking for preloading variables [ None found ]
    Checking for preload file [ Not found ]
    Checking LD_LIBRARY_PATH variable [ Not found ]

    Performing file properties checks
    Checking for prerequisites [ Warning ]
    /bin/awk [ OK ]
    /bin/basename [ OK ]
    /bin/bash [ OK ]
    /bin/cat [ OK ]
    /bin/chmod [ OK ]
    /bin/chown [ OK ]
    /bin/cp [ OK ]
    /bin/csh [ OK ]
    /bin/date [ OK ]
    /bin/df [ OK ]
    /bin/dmesg [ OK ]
    /bin/echo [ OK ]
    /bin/ed [ OK ]
    /bin/egrep [ OK ]
    /bin/fgrep [ OK ]
    /bin/fuser [ OK ]
    /bin/grep [ OK ]
    /bin/ip [ OK ]
    /bin/kill [ OK ]
    /bin/logger [ OK ]
    /bin/login [ OK ]
    /bin/ls [ OK ]
    /bin/lsmod [ OK ]
    /bin/mail [ OK ]
    /bin/mktemp [ OK ]
    /bin/more [ OK ]
    /bin/mount [ OK ]
    /bin/mv [ OK ]
    /bin/netstat [ OK ]
    /bin/ps [ OK ]
    /bin/pwd [ OK ]
    /bin/rpm [ OK ]
    /bin/sed [ OK ]
    /bin/sh [ OK ]
    /bin/sort [ OK ]
    /bin/su [ OK ]
    /bin/touch [ OK ]
    /bin/uname [ OK ]
    /bin/gawk [ OK ]
    /bin/tcsh [ OK ]
    /usr/bin/awk [ OK ]
    /usr/bin/basename [ OK ]
    /usr/bin/chattr [ OK ]
    /usr/bin/chroot [ OK ]
    /usr/bin/csh [ OK ]
    /usr/bin/curl [ OK ]
    /usr/bin/cut [ OK ]
    /usr/bin/diff [ OK ]
    /usr/bin/dirname [ OK ]
    /usr/bin/du [ OK ]
    /usr/bin/ed [ OK ]
    /usr/bin/egrep [ OK ]
    /usr/bin/env [ OK ]
    /usr/bin/fgrep [ OK ]
    /usr/bin/file [ OK ]
    /usr/bin/find [ OK ]
    /usr/bin/grep [ OK ]
    /usr/bin/groups [ OK ]
    /usr/bin/head [ OK ]
    /usr/bin/id [ OK ]
    /usr/bin/killall [ OK ]
    /usr/bin/last [ OK ]
    /usr/bin/lastlog [ OK ]
    /usr/bin/ldd [ Warning ]
    /usr/bin/less [ OK ]
    /usr/bin/lsattr [ OK ]
    /usr/bin/lsof [ OK ]
    /usr/bin/mail [ OK ]
    /usr/bin/md5sum [ OK ]
    /usr/bin/newgrp [ OK ]
    /usr/bin/passwd [ OK ]
    /usr/bin/perl [ OK ]
    /usr/bin/pstree [ OK ]
    /usr/bin/readlink [ OK ]
    /usr/bin/rkhunter [ OK ]
    /usr/bin/runcon [ OK ]
    /usr/bin/sed [ OK ]
    /usr/bin/sh [ OK ]
    /usr/bin/sha1sum [ OK ]
    /usr/bin/size [ OK ]
    /usr/bin/sort [ OK ]
    /usr/bin/stat [ OK ]
    /usr/bin/strace [ OK ]
    /usr/bin/strings [ OK ]
    /usr/bin/sudo [ OK ]
    /usr/bin/tail [ OK ]
    /usr/bin/test [ OK ]
    /usr/bin/top [ OK ]
    /usr/bin/touch [ OK ]
    /usr/bin/tr [ OK ]
    /usr/bin/uniq [ OK ]
    /usr/bin/users [ OK ]
    /usr/bin/vmstat [ OK ]
    /usr/bin/w [ OK ]
    /usr/bin/watch [ OK ]
    /usr/bin/wc [ OK ]
    /usr/bin/wget [ OK ]
    /usr/bin/whatis [ OK ]
    /usr/bin/whereis [ OK ]
    /usr/bin/which [ OK ]
    /usr/bin/who [ OK ]
    /usr/bin/whoami [ OK ]
    /usr/bin/gawk [ OK ]
    /usr/bin/tcsh [ OK ]
    /usr/bin/mailx [ OK ]
    /sbin/checkproc [ OK ]
    /sbin/chkconfig [ Warning ]
    /sbin/depmod [ OK ]
    /sbin/ifconfig [ OK ]
    /sbin/ifdown [ OK ]
    /sbin/ifstatus [ OK ]
    /sbin/ifup [ Warning ]
    /sbin/init [ OK ]
    /sbin/insmod [ OK ]
    /sbin/ip [ OK ]
    /sbin/lsmod [ OK ]
    /sbin/modinfo [ OK ]
    /sbin/modprobe [ OK ]
    /sbin/nologin [ OK ]
    /sbin/rmmod [ OK ]
    /sbin/runlevel [ OK ]
    /sbin/sulogin [ OK ]
    /sbin/sysctl [ OK ]
    /usr/sbin/cron [ OK ]
    /usr/sbin/groupadd [ OK ]
    /usr/sbin/groupdel [ OK ]
    /usr/sbin/groupmod [ OK ]
    /usr/sbin/grpck [ OK ]
    /usr/sbin/pwck [ OK ]
    /usr/sbin/tcpd [ OK ]
    /usr/sbin/useradd [ OK ]
    /usr/sbin/userdel [ OK ]
    /usr/sbin/usermod [ OK ]
    /usr/sbin/vipw [ OK ]
    /usr/sbin/xinetd [ OK ]

    Sind diese Warnmeldungen bei manchen gefährlich?

    Checking for rootkits...

    Performing check of known rootkit files and directories
    55808 Trojan - Variant A [ Not found ]
    ADM Worm [ Not found ]
    AjaKit Rootkit [ Not found ]
    aPa Kit [ Not found ]
    Apache Worm [ Not found ]
    Ambient (ark) Rootkit [ Not found ]
    Balaur Rootkit [ Not found ]
    BeastKit Rootkit [ Not found ]
    beX2 Rootkit [ Not found ]
    BOBKit Rootkit [ Not found ]
    CiNIK Worm (Slapper.B variant) [ Not found ]
    Danny-Boy's Abuse Kit [ Not found ]
    Devil RootKit [ Not found ]
    Dica-Kit Rootkit [ Not found ]
    Dreams Rootkit [ Not found ]
    Duarawkz Rootkit [ Not found ]
    Enye LKM [ Not found ]
    Flea Linux Rootkit [ Not found ]
    FreeBSD Rootkit [ Not found ]
    Fuck`it Rootkit [ Not found ]
    GasKit Rootkit [ Not found ]
    Heroin LKM [ Not found ]
    HjC Kit [ Not found ]
    ignoKit Rootkit [ Not found ]
    ImperalsS-FBRK Rootkit [ Not found ]
    Irix Rootkit [ Not found ]
    Kitko Rootkit [ Not found ]
    Knark Rootkit [ Not found ]
    Li0n Worm [ Not found ]
    Lockit / LJK2 Rootkit [ Not found ]
    Mood-NT Rootkit [ Not found ]
    MRK Rootkit [ Not found ]
    Ni0 Rootkit [ Not found ]
    Ohhara Rootkit [ Not found ]
    Optic Kit (Tux) Worm [ Not found ]
    Oz Rootkit [ Not found ]
    Phalanx Rootkit [ Not found ]
    Phalanx Rootkit (strings) [ Not found ]
    Portacelo Rootkit [ Not found ]
    R3dstorm Toolkit [ Not found ]
    RH-Sharpe's Rootkit [ Not found ]
    RSHA's Rootkit [ Not found ]
    Scalper Worm [ Not found ]
    Sebek LKM [ Not found ]
    Shutdown Rootkit [ Not found ]
    SHV4 Rootkit [ Not found ]
    SHV5 Rootkit [ Not found ]
    Sin Rootkit [ Not found ]
    Slapper Worm [ Not found ]
    Sneakin Rootkit [ Not found ]
    Suckit Rootkit [ Not found ]
    SunOS Rootkit [ Not found ]
    SunOS / NSDAP Rootkit [ Not found ]
    Superkit Rootkit [ Not found ]
    TBD (Telnet BackDoor) [ Not found ]
    TeLeKiT Rootkit [ Not found ]
    T0rn Rootkit [ Not found ]
    Trojanit Kit [ Not found ]
    Tuxtendo Rootkit [ Not found ]
    URK Rootkit [ Not found ]
    VcKit Rootkit [ Not found ]
    Volc Rootkit [ Not found ]
    X-Org SunOS Rootkit [ Not found ]
    zaRwT.KiT Rootkit [ Not found ]

    Performing additional rootkit checks
    Suckit Rookit additional checks [ OK ]
    Checking for possible rootkit files and directories [ None found ]
    Checking for possible rootkit strings [ None found ]

    Performing malware checks
    Checking running processes for suspicious files [ None found ]
    Checking for login backdoors [ None found ]
    Checking for suspicious directories [ None found ]
    Checking for sniffer log files [ None found ]

    Performing trojan specific checks
    Checking for enabled xinetd services [ None found ]

    Performing Linux specific checks
    Checking kernel module commands [ OK ]
    Checking kernel module names [ OK ]

    rootkits scheint er wohl keine gefunden zu haben

    Checking the network...

    Performing check for backdoor ports
    Checking for UDP port 2001 [ Not found ]
    Checking for TCP port 2006 [ Not found ]
    Checking for TCP port 2128 [ Not found ]
    Checking for TCP port 14856 [ Not found ]
    Checking for TCP port 47107 [ Not found ]
    Checking for TCP port 60922 [ Not found ]

    Performing checks on the network interfaces
    Checking for promiscuous interfaces [ None found ]

    [Press <ENTER> to continue]


    Checking the local host...

    Performing system boot checks
    Checking for local host name [ Found ]
    Checking for local startup files [ Found ]
    Checking local startup files for malware [ None found ]
    Checking system startup files for malware [ None found ]

    Performing group and account checks
    Checking for passwd file [ Found ]
    Checking for root equivalent (UID 0) accounts [ None found ]
    Checking for passwordless accounts [ None found ]
    Checking for passwd file changes [ Warning ]
    Checking for group file changes [ Warning ]
    Checking root account shell history files [ OK ]

    Performing system configuration file checks
    Checking for SSH configuration file [ Found ]
    Checking if SSH root access is allowed [ OK ]
    Checking if SSH protocol v1 is allowed [ Not allowed ]
    Checking for running syslog daemon [ Found ]
    Checking for syslog configuration file [ Found ]
    Checking if syslog remote logging is allowed [ Not allowed ]

    Performing filesystem checks
    Checking /dev for suspicious file types [ None found ]
    Checking for hidden files and directories [ None found ]

Bei manchen bringt es Warnungen wollte jetzt wissen ob wie die einzustufen sind?
 

nbkr

Guru
Conax schrieb:
Entdeckt KlamAV eigentlich auch rootkits?

Nein.

Ich weiss zwar das man als normaler user eh keine Chance hat wenn es ein Hacker auf einen abgesehen hat aber so ein Programm gibt mir wenigstens das Gefühl das nicht jeder Skript Kiddie in mein System eindringen kann.

Ein Desktopsystem (= Bietet keine Dienste nach außen an) mit allen verfügbaren Sicherheitsupdates und mit einem intelligenten User (= klickt nicht alles an, was nicht bei 3 auf den Bäumen ist) davor, ist über das Internet auch für den besten Hacker eine uneinnehmbare Festung.

Siehe "Pwn To Own" Wettbewerb:
... Auch diesmal gelang der Hack erst in der zweiten Stufe, also unter Mitwirkung eines Anwenders, der eine präparierte Webseite ansurft. ...

Bei dem Wettbewerb ist zuerst ein Mac Book gefallen, dann ein Vistarechner - ein Ubuntu 7.10 Rechner überlebte unbeschadet. Kein System wurde ohne Mithilfe des Users der davor sitzt genackt.
 
Oben