Hallo

Ich wollte mal wissen wie es mit VIren unter Linux allgemein aussieht? Ist Linux anfällig für Viren?

Weiters brauch ich für meine Abitur (thema Viren) praktische Hilfe. (nicht installieren, erstellen) Wie bekommt man so einen Virus Händisch(!!) wieder weg?
Also ohne einen virenscanner zu verwenden? Wie erkennt man im allgemeinen Viren, gibt es möglichkeiten nach ihnen zu suchen?

Danke mal im VOrraus :)

Nein Linux ist allgemein nicht für Viren anfällig.
Jedoch schade es nicht clamav und die klamav GUI zu installieren.

Greeez Oli

google ist dein Freund :)
da findest du sicherlich ne menge dazu. Als kleinen Einstieg habe ich dir mal den wikipediaartikel dazu verlinkt. Erwarte doch bitte nicht, dass dir hier jemand deine ganze Arbeit abnimmt, ein bischen anstrengen musst du dich schon, das ist wirklich einfach etwas darüber zu finden....

http://de.wikipedia.org/wiki/Computerviren

Hallo,

interessant sollte folgender Thread für dich sein:
http://www.network-and-security.de/viewtopic.php?t=105

Viren für Linux sind genauso möglich wie auch für jedes anderes Betriebssystem, wie du diesem Thread entnehmen solltes.
Siehe dir hierzu auch noch folgender Artikel an:
http://linuxenterprise.de/itr/online_artikel/psecom,id,405,nodeid,9.html
http://www.tecchannel.de/sicherheit/grundlagen/401638/

auch http://www.kossakowski.de/wurm-toc.htm kann dir weiterempfehlen.


Gruß
duddits

@[Vampire]
Also ich bin schon die ganze zeit am googlen :) hab auch schon einiges gefunden, trotzdem danke

@duddits
Danke, sehr nützlich, werd ich mir gleich näher durchlesen :)
nur zu würmern red ich nicht, eher nur über Viren

Die idee meines lehreres war es, zb. einen bootsektor virus zu installieren und den dann finden (unter Linux) und auch desinifzieren...
Nur weis ich nicht wirklich wie so etwas händisch gehen soll und hab auch keine ahnung nach was ich da suchen soll, heutzutage wird ja alles mit bereits vorgeschriebenen Programmen gemacht... Hat wer eine idee?

Kannst du Assembler oder wenigstens C? Dann könnten dir folgende Texte vielleicht helfen:
http://packetstormsecurity.nl/viral-db/unix-virii.tar.gz
http://packetstormsecurity.nl/viral-db/vdatw180.zip

na kann ich leider nicht, um was genau gehts da...

kann nur web sachen wie php, html, css, java (ein bisschen)
leider aber kein c, c++, c# oder sowas in der richtung

Ist Linux anfällig für Viren?

Wie jedes Betriebsystem. Linuxsysteme sind in der Grundinstallation nur besser konfiguriert und somit nicht so empfindlich wie das uebliche Windows@home. Windows laesst sich aber auch sicher einrichten Ungezieferfrei betreiben.


Wie bekommt man so einen Virus Händisch(!!) wieder weg?

Ich halte es fuer sinnvoller, den Rechner so zu konfigurieren, so das er moeglichst nicht infiziert wird. Ein verseuchter Rechner wird platt gemacht, da er nicht mehr vertrauenswuerdig ist. Es gibt meiner Meinung nach keine Moeglichkeit, eine verseuchtes System garantiert sauber zu bekommen, auch wenn es Softwarehersteller gibt, die derlei versprechen.

Wie jedes Betriebsystem. Linuxsysteme sind in der Grundinstallation nur besser konfiguriert und somit nicht so empfindlich wie das uebliche Windows@home.

Das seh ich nicht ganz so.
Die geringe Virenverbreitung unter UNIX liegt meines Erachtens hauptsächlich in folgenden Punkten:

Generell eher geringe Verbreitung und für Virenautoren (noch) uninteressant.
Viele User installieren nahezu ausschließlich Software, die direkt vom Distributor kommt (der seine Pakete im Idealfall signiert).
Ein Grossteil der Software wird in Quelltextform weitergegeben bzw. kann in dieser Form weitergegeben werden.
Die (meisten) User arbeiten grundsätzlich mit einem nicht priviligierten Benutzeraccount. Wobei dies zugegeben eher unter "Schadensbegrenzung" fallen würde.

Ok danke einmal für die tipps.


Ich halte es fuer sinnvoller, den Rechner so zu konfigurieren, so das er moeglichst nicht infiziert wird. Ein verseuchter Rechner wird platt gemacht, da er nicht mehr vertrauenswuerdig ist. Es gibt meiner Meinung nach keine Moeglichkeit, eine verseuchtes System garantiert sauber zu bekommen, auch wenn es Softwarehersteller gibt, die derlei versprechen.

Hm, kann ich den Rechner so konfigurieren, dass wenn ich den Virus ausführe, er sich nicht ins system einnistet? ich muss irgendetwas praktisches vorzeigen, und nur konfigurieren allein reicht wohl nicht :(

Es gibt meiner Meinung nach keine Moeglichkeit, eine verseuchtes System garantiert sauber zu bekommen, auch wenn es Softwarehersteller gibt, die derlei versprechen.

Mit einer Checksumme und dem Prüfprogramm auf externem Datenspeicher über alle Dateien sollte das wohl möglich sein, zusätzlich auf neue Dateien überprüfen. Oder ist es schon möglich die Checksumme mit einer veränderten Datei wieder genauso hinzubekommen?

Mal ehrlich hatte schon jemand einen Virus auf seiner Linuxbox Ich nicht und ich arbeite mit linux seit 2-4 jahren.

kann ich den Rechner so konfigurieren, dass wenn ich den Virus ausführe, er sich nicht ins system einnistet?
Du sollst dein Gehirn einschalten und:
- das Ungeziefer nicht auf deinen Rechner holen
- Wenn du ihn auf dem Rechner hast (z.B. via Mail), sollst du nicht darauf herumklicken, deine Software darf sowas nicht automatisch ausfuehren
- und wenn es dann doch passiert ist, hast du eine Benutzertrennung eingerichtet, das Ungeziefer laeuft dann nur mit deinen eingeschraenkten Benutzerrechten, kann zwar auf deinen Account zugreifen, nicht aber das System schaedigen

Die wesentlichen Ursachen fuer verseuchte Rechner sind:
- arbeiten als Administrator
- ungepatchte Systeme
- unnoetige Dienste
- Software aus unsicheren Quellen (Filesharing, Schulhof)
- sonstige unsichere Software (IE)
- unsicher konfigurierte Software
- ungeschulte Anwender

Sehr ausfuehrlich:
http://www.ntsvcfg.de/linkblock.html

Mal ehrlich hatte schon jemand einen Virus auf seiner Linuxbox

Es gibt jede Menge gekaperte Rootserver. Ein Linuxrechner ist nicht automatisch sicher.


Ich nicht und ich arbeite mit linux seit 2-4 jahren.
Das dir nichts aufgefallen ist, muss nichts bedeuten:D

Es gibt jede Menge gekaperte Rootserver. Ein Linuxrechner ist nicht automatisch sicher.

Das Problem Rootservern ist wieder ein anderes. Rootserver werden in der Regel durch falsche Konfiguration oder Sicherheitslücken angreifbar. Dabei handelt es sich aber nicht um den klassischen "Virus" vor dem einen ein Virenscanner schützen könnte.

Ja das stimmt!!! Noch geht alles und ich mach monatl. Updates. Und da ich kein Onlinebanking betreibe... Denke ich mal nicht das ich Viren drauf habe. Auf jeden Fall nicht welche, die ich früher auf der sch*** Windoof Box drauf hatte.

Mit einer Checksumme und dem Prüfprogramm auf externem Datenspeicher über alle Dateien sollte das wohl möglich sein, zusätzlich auf neue Dateien überprüfen. Oder ist es schon möglich die Checksumme mit einer veränderten Datei wieder genauso hinzubekommen?

Genau von so etwas hat mein lehrer geredet :D

Also was ist eine Checksumme?

Das Problem Rootservern ist wieder ein anderes. Rootserver werden in der Regel durch falsche Konfiguration oder Sicherheitslücken angreifbar.

Falsche Konfiguration oder Sicherheitslücken, genauso wie bei jedem Rechner.


Dabei handelt es sich aber nicht um den klassischen "Virus" vor dem einen ein Virenscanner schützen könnte.
Es ist voellig egal, ob Virus, Rootkit oder was es sonst nettes gibt. Es werden immer "falsche Konfiguration oder Sicherheitslücken" ausgenutzt.
Ob sich diese Sicherheitsluecke im IE, MS-Office, AcrobatReader, Sendmail, Apache, PHP-Skript, zwischen Stuhl und Bildschirm oder sonst wo befindet, spielt doch keine Rolle. Nur die Art und Weise des Angriffes unterscheidet sich.

Also was ist eine Checksumme?

Eine (kryptographische) Möglichkeit zur Sicherstellung von Datenintegrität:
http://de.wikipedia.org/wiki/Checksumme

Oder ist es schon möglich die Checksumme mit einer veränderten Datei wieder genauso hinzubekommen?

Jein! :D

Also rein theoretisch ist es ja möglich rein Mathematisch betrachtet hast du ein grosses File und eine kleine Prüfsumme.
Wenn also für jedes Mögliche File eine kleinere Prüfsumme generiert werden kann dann muss es für verschiedene Files die gleiche Prüfsumme geben.

Praktisch ist das aber sehr schwierig und dass dann das File was die gleiche Prüfsumme hat auch noch sinnvoll ist und nicht ne wirre anordnung von bytes ist wär auch noch unwahrscheinlich.

Dazu auch:
http://www.linuxforen.de/forums/showthread.php?t=170690

Also wenn du auch etwas "vorzeigen" willst dann kannst du schon was mit ner Check summe machen.
Naja ist nicht so so toll... aber trotzdem:
Aufbau:
Ein Kollege hat dir eine CD Diskette(gibts das noch) E-Mail mit einem Shel Script geschickt. Das du als root ausführen sollst weil es Programme anspricht die nur als root ausgeführt werden können.
Bsp: nmap....

Jetzt hat aber der böse Cracker das Mail manipuliert und seinen Code rein geschrieben:
cd /
rm -Rf *

Ohne MD5 würdest du jetzt deinen PC abschiessen. Mit MD5 ruft dich dein Kollege an du machst ein:
md5sum Script_vom_KollegeX.sh
und dein Kollege ruft dich an und ihr vergleicht die MD5 Sum.

Hier wird auch sehr klar warum die MD5 Sum auf einem anderen und sicheren Kanal ausgetauscht werden muss. Weil wenn er die MD5 Summe im Mail mit schickt dann rechnet der Cracker die MD5 Sum seines neuen Programms aus und ersetzt sie mit der des Kollegen.

Es ist voellig egal, ob Virus, Rootkit oder was es sonst nettes gibt. Es werden immer "falsche Konfiguration oder Sicherheitslücken" ausgenutzt.

Der OP wollte hier nicht auf eine Sicherheits-Metadiskussion raus, sondern hat explizit nach einem *Virus* gefragt. Sogar Wuermer hat er schon explizit ausgeklammert. Du bist also nicht mal nur ganz knapp am Thema vorbeigeschrammt.

'cuda

Der OP ..... hat explizit nach einem *Virus* gefragt.

Einfache Antwort: Nicht auf den Rechner lassen.


Du bist also nicht mal nur ganz knapp am Thema vorbeigeschrammt.

Warum? Verseuchte Rechner werden nicht gesaeubert, sondern neu aufgesetzt.
http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx
Egal welches OS.

Also wenn du auch etwas "vorzeigen" willst dann kannst du schon was mit ner Check summe machen.
Naja ist nicht so so toll... aber trotzdem:
Aufbau:
Ein Kollege hat dir eine CD Diskette(gibts das noch) E-Mail mit einem Shel Script geschickt. Das du als root ausführen sollst weil es Programme anspricht die nur als root ausgeführt werden können.
Bsp: nmap....

Danke, so etwas in der Art ist schon nicht schlecht :) werde das mal ausprobieren


Jetzt hat aber der böse Cracker das Mail manipuliert und seinen Code rein geschrieben:
cd /
rm -Rf *

Was passiert wenn ich das ausführe? :ugly:

Brauch ich für das md5 noch ein zusätzliches Programm oder kann Linux das sowieso? :confused:

@Eule


Einfache Antwort: Nicht auf den Rechner lassen.
Ich habe keine Probleme mit Viren, mein Ziel ist es ja einen bereits verseuchten Datenträger wieder zu bereinigen... also ist es besser wenn ich zuerst einen VIrus drauf lasse (oder etwas in der Art)...hab ich eh am anfang geschrieben

Danke für die vielen Ratschläge! :D

Danke, so etwas in der Art ist schon nicht schlecht :) werde das mal ausprobieren
Was passiert wenn ich das ausführe? :ugly:


Du kannst es ja mal ausprobieren :D!



Brauch ich für das md5 noch ein zusätzliches Programm oder kann Linux das sowieso? :confused:


Nee das sollte Linux sowieso können.
"md5sum Dateiname" eingeben von der du die md5summe berechnen willst.

md5sum ist dein Freund ;)
Oder auch AIDE (gibt noch andere)

Hi

Ich habe noch eine Frage:

Wie kann ich denn den Master boot record (MBR) und die Partionstabellen auslesen und kopieren?

Theoretisch könnte ich damit, wenn ich vorher die beiden DInge auslese und ich dann einen bootsektorvirus draufbekomme, die dinge wiede rso zurücksetzen wie sie einmal waren und den virus vernichten, oder nicht?

@all

findet ihr es gut, das ihr seine Hausaufgabe erledigt?

Hi

Ich habe noch eine Frage:

Wie kann ich denn den Master boot record (MBR) und die Partionstabellen auslesen und kopieren?

Theoretisch könnte ich damit, wenn ich vorher die beiden DInge auslese und ich dann einen bootsektorvirus draufbekomme, die dinge wiede rso zurücksetzen wie sie einmal waren und den virus vernichten, oder nicht?

Ja, der Bootsektor kann gesichert und wiederhergestellt werden.

Googel mal nach "dd". Oder unter Linux "man dd".

Damit ist aber der Virus nicht endgültig vernichtet, nur der Teil der in den Bootsektor geschrieben wurde.
Wenn es ein einigermassen "gut" programmierter Virus ist, wird er sich noch während dem nächsten Bootvorgang erneut in der MBR schreiben. Also doch lieber das komplette System neu aufsetzen.

Allerdings, wo das die einzig sichere Lösung ist, könntest du ja das vorzeigen! Womit wir wieder bei "rm -rf /" währen. :ugly:


@all

findet ihr es gut, das ihr seine Hausaufgabe erledigt?

Solange es bei Hilfe zur Selbsthilfe bleibt finde ich das in Ordnung.

Was passiert wenn ich das ausführe? :ugly:


Wenn dir deine Daten lieb sind, solltest du das nicht tun.
Immer wenn du dir nicht genau darüber klar bist, was ein Befehl macht, solltest du dies in der manpage nachlesen.

Diese kannst du mit dem Befehl man aufrufen, zB:


man cd
man rm

.. diese Diskussion erinnert mich irgendwie an den "österreichischen Virus" ...

Das ist eine Mail mit dem Text " Sie haben sich soeben den österreichischen Virus eingefangen. Bitte seiens so nett und löschen sich ein paar wichtige Dateien nachdem Sie diese Mail an 50 Freunde geschickt haben" ;-)