Hallo Linuxforen-Nutzer!

Ein Thema, vor dem ich mich lange Zeit gedrückt habe, aber nun zu einem wirklichen Problem geworden ist, bringt mich zur Verzweiflung.

Ich habe ein Netzwerk mit einem SuSE Linux 9.1 Server, an den 20 Windows 2000 Clients hängen. Der Server fungiert als Domänencontroller und stellt Netzwerkressourcen zur Verfügung. Unter anderem auch eine Samba-Freigabe, auf der Netzwerksoftware läuft.

Leider haben sich die Client-Rechner mit dem Virus W32/Parite B infiziert. Diesen Virus, der sich im Bootsektor einnistet und sich auch per Netzwerk verbreitet, konnte ich auf den Clients mit vielen Tricks entfernen und habe die Clients sicherheitshalber vom Netzwerk abgeklemmt. Die Clients sind derzeit vollständig sauber.

Leider zeigte sich aber, dass alle EXE-Dateien auf der Netzwerksoftwarefreigabe auf dem Linuxserver ebenso mit diesem Virus infiziert sind. Ein Virenscannen mit von einem sauberen Windows-Client auf den Netzwerkfreigaben kann den Virus zwar kurzzeitig beseitigen, beim nächsten Scan sind jedoch alle Dateien auf dem Server wieder verseucht.

Die Frage ist nun: Wie bekomme ich meinen Server möglichst schonend wieder sauber? Gibt es empfehlenswerte Linuxvirenscanner bzw. was ist bei der Virenentfernung zu beachten?

Ich habe die betroffene Partition auch schon reiserfs formatiert und die Software neuinstalliert, aber es hat nichts geholfen. Wo könnte sich der Virus noch eingenistet haben? Gibt es so etwas wie eine nicht mehr widerherstellbare reiserfs-Formatierung (vgl. unter DOS format c: /u)?

Über Antworten von Euch würde ich mich freuen.

Vielen Dank,

xdf900

hier zum Beispiel:
http://www.nod32.com/products/lfs.htm

frag mich jetzt nicht was das Teil kostet, hab hier schlimme Befürchtungen :ugly:

Die Befürchtungen teile ich :rolleyes:

Trotzdem suche ich nach einer kostengünstigeren Lösung, die ich vor allem sofort nutzen kann.

Auch interessiert mich, ob sich infizierte Windows-Dateien (in diesem Fall Parite 32B) auf dem Linuxserver innerhalb des Linux weiterverbreiten?

Die einschlägigen Viren-Advisories werden sicherlich Beschreibungen
zur Wirkungsweise/Abwehr des Virus nennen.

Versuch mal F-Prot z.B. vom ftp Server ftp.f-prot.com/pub/linux/

Viel Erfolg
Wolfgang

Hast Du mal den gesamten Linuxrechner inspiziert/inspizieren lassen?
Wenn die Clients verseucht waren, und der Linuxrechner mehrere Shares verwaltet, ist anzunehmen, daß nicht nur jenes Share mit dem Programm betroffen ist.
Wenn er sich via Netzwerk verbreitet, kann es auch den FTP Bereich treffen, etc.

Nutzbare AV Software gibt es reichlich - ob Du dann mal "ausnahmsweise" verfügbare, aber für den gewerblichen Einsatz nicht gestattete Versionen nimmst, bleibt letzlich Dir überlassen ...

Gruß

Danke für die Antworten.

Der Linuxserver stellt lediglich vier Shares zur Vefügung und keine weiteren Dienste. Der Virus (W32 Parite B) ist ein ausschließlicher Windows-Virus.

Meine Frage:
Kann ich davon ausgehen, dass nur die Shares auf dem Linuxserver befallen sind oder muss ich davon ausgehen, dass das gesamte Linux-System betroffen ist?

Also, ich würde mir mal einen Viren-Scanner für den Server besorgen und ihn gründlich überprüfen.

Dann fällt mir noch das kostenlose Tool >>RKHunter (http://www.rootkit.nl/) <<. Damit kannst Du Deinen Server gründlich überprüfen!

Wenn sich dieser Virus über das Netzwerk verbreitet und der Linuxrechner bereits gesäubert wurde, dann können die Viren doch eigentlich nur von einem Windows-client stammen, oder? Wäre es nicht möglich, den Fileserver über eine Firewall abzuschotten und mal zu protokollieren, welcher client auf verdächtigen ports sendet? Sollte das nicht möglich sein, weil sich der Virus über die smb/cifs ports verbreitet, dann könnte man doch immerhin versuchen, das LAN in Segmente aufzuteilen. Ich vermute mal, der Virus wird auch versuchen, sich an windows-clients in anderen Segmenten zu verschicken. Das immerhin sollte man mit einer Firewall erkennen können. Wenn man den Virus anhand der Paketinhalte erkennen kann, würde ethereal sicher helfen können.

HTH
mamue

Hallo,

erste Frage gleich am Anfang: Warum hast Du keine Antiviruslösung
im Netzwerk? Das ist doch wirklich grob fahrlässig!

Zweite Frage: Wo kommt der Virus her?

Du solltest das System reinigen, z.B. mit dem oben beschriebenen
f-prot von f-secure.

Die neue Inbetriebnahme erfolgt erst wieder, wenn das System
frei von Viren ist. Jeder einzelne Client wird erst wieder ans Netz
angeschlossen, wenn er bewiesenermaßen sauber ist.

Hier noch etwas zum Schluß: Es gibt keine professionelle Antivirus
Software für lau. Etwas wirst Du wohl investieren müssen.

Suche Dir, wenn Du es noch nicht gemacht hast, einen E-mail
Provider, der Deine Mail schon mal vorab scannt.

Viele Grüße

Eicke

Hallo!

Danke für Eure Antworten. Ich weiß, dass das fahrlässig ist. Da ich das Netzwerk aber ehrenamtlich betreue, habe ich eine ganze Liste von Dingen, die zu erledigen und eigentlich unabkömmlich sind, aber nicht immer sofort umsetzbar sind.

Woher der Virus stammt weiß ich nicht. Gleich in den nächsten Tagen werde ich eine Intensivreinigung probieren.

Eine letzte Frage habe ich aber immer noch:
Wenn sich ein Windows-Virus, der unter anderem auch Bootsektoren befällt, auf einem freigegebenen Share auf dem Linux Server einnistet: Wo verbreitet sich dieser Virus auf dem Linuxserver?

Nur in dem jeweiligen Share? Befällt er auch Linux-eigene Systemdateien? Oder verbreitet er sich überhaupt nicht?

Diese letzte Frage würde mir sehr weiterhelfen.

Danke,

xdf900

Hallo,

der Virus kann keine Linuxdateien infizieren.




Once W32/Parite-B has been executed it will remain in memory, infecting every PE and SCR file on every drive and network share.
The main viral code will be dropped to a randomly named TMP file in the Windows temp directory. The file is 172Kb in size.



Viele Grüße

Eicke