Hallo Zusammen,

hat es hiermal jemand geschafft, den Wachhund unter Debian zum laufen zu bringen?

Gruß nopes

PS: @Moderator, kann man den Titel von Antivier auf Antivir bringen?

Titel wunschgemäß geändert.

schreib doch einfach mal wo dein problem ist udn welche fehler meldungen es gibt.

gruß iluminat23

Hallo,

das Problem war (ist?) ein Kernelmodul namens Dazuko, damals (ist eine Weile her, inzwischen verwende ich den von AVG) musste der Debian Kernel dafür gepatcht werden, da wohl irgendwas fehlte, da ich mit so Patchereien am Kernel immer nur aufs Maul geflogen bin :( und Antivir auch nicht wirklich als Installationspaket kommt, habe ich schließlich den Krempel von AVG benutzt.

Da gab es und gibt es für alle gängingen Installer schöne Pakete, leider muss man auch hier für den OnAccessDaemon selbst was kompiliert, allerdings gab es eine Alternative zu Dazuko die ohne Patches bei mir lief bzw. kompilierbar war.

Nun ist es so, dass mir das AVG Produkt nicht so richtig gefällt, weil es zwar alles ganz brav macht und tut aber den Anwender nicht darüber informiert :confused:
Der Testvirus von eicar.org zum Beispiel wird schön brav geblockt, der Anwender sieht aber nur ein Permission denied ohne einen Grund dafür zu erfahren, das finde ich schon mal ziemlich blöd, ein Hinweis der ein bisschen schockender ist, denn hätte ich mir gewünscht.
Mir fehlt außerdem eine klickerbunt Variante bzw. Frontend, das auch meine Eltern verstehen.
Ein weiteres Problem, ist das es alles nach /opt knallt, ich es aber unter /var erwartet hätte, jedenfalls fände ich es nach FSH korrekter.

Wie auch immer, seit Kernel 2.6.25 kann wohl auch der vanillie-Kernel von Debian dazuko ohne das man was Patchen muss, da ich wie gesagt nicht wirklich von dem AVG Produkt geflasht bin, dachte ich mir stell halt auf Antivir um, alledings wüßte ich schon gerne, ob es nun wirklich geht oder nicht und ob Antivir die von mir kritisierten Punkte besser löst.

Gruß nopes

also ich arbeite derzeit mit dem avira antivir, aber ohne dazuko. da ich gentoo verwende muss ich für alles was ich mit antivir mache eine VM verwenden. an deiner stelle würde ich einfach eine VM mit debian installieren und es dann testen.

gruß iluminat23

hat es denn sowas wie ein GUI, oder ist auch nur via Muschel bedienbar?

Gruß nopes

Nun ist es so, dass mir das AVG Produkt nicht so richtig gefällt, weil es zwar alles ganz brav macht und tut aber den Anwender nicht darüber informiert :confused:
Der Testvirus von eicar.org zum Beispiel wird schön brav geblockt, der Anwender sieht aber nur ein Permission denied ohne einen Grund dafür zu erfahren, das finde ich schon mal ziemlich blöd, ein Hinweis der ein bisschen schockender ist, denn hätte ich mir gewünscht.
Mir fehlt außerdem eine klickerbunt Variante bzw. Frontend, das auch meine Eltern verstehen.

Na zum Glück bleibt der im Hintergrund und macht da zuverlässig seine Arbeit. Und zum Glück popt da nicht zu jeder undenkbaren Gelegenheit ein buntes Fenster mit einer kryptischen Meldung auf! Genau dieses angenehme im Hintergrund Arbeiten war seinerzeit der Grund warum ich zu Linux gewechselt habe.

Und überhaupt, ein Virenscanner nützt dir (und Deinen Eltern) auf dem Linux Desktop selbst wenig. Es sind eh keine Viren für Linux bekannt. So einen Scanner brauchst Du nur wenn Du einen Server betreibst auf den auch ungeschützte Windows- Rechner zugreifen. Das Thema wurde hier in den letzten Tagen schon öfter diskutiert.

Kann ich so nicht gelten lassen, zum einen gibt es ja vielleicht nicht viel aber es gibt eben Schädlinge, zum anderen ist die Einstellung in etwa wie, wir Produzieren den Strom nur noch mit Kernkraft, die Kraftwerke sind so Sicher da passiert nichts. Wenn doch was passiert fresse halten und Kaffee saufen, erst wenn einer ganz genau kuckt, geben wir es zu.

Ein Warnung sollte schon sein, und ich finde bei einem potentiellen Befall kann die gar nicht laut genug sein. Jedenfalls ist es nicht zu viel verlangt was in die Standard Logs zu pinnen.

gruß nopes

Kann ich so nicht gelten lassen, zum einen gibt es ja vielleicht nicht viel aber es gibt eben Schädlinge

Nenn mir einen. Mit Link zur Virendatenbank eines beliebigen Virenscanners am besten.

Ich behaupte ja nicht dass es nicht möglich wäre, nur dass es bis jetzt nicht vorgekommen ist und daher die Scanner auch nicht darauf ausgelegt sind. Die erkennen ja auch nur was bekannt ist.


Jedenfalls ist es nicht zu viel verlangt was in die Standard Logs zu pinnen.

Das würde ich auf jeden Fall auch erwarten. Nicht weniger und um Himmels willen auf gar keinen Fall mehr!

Stand nichts in den Logs?

.. ich habe wegen des bequemen Paketformates auch den AVG installiert, allerdings verwende ich ihn nur "on demand".

Interessehalber: wenn ich das doppelt gezippte Eicar Testfile "durchjage" ( http://www.eicar.org/download/eicarcom2.zip ) erkennt er es in der Form nicht. Habe ich was falsch konfiguriert oder ist das normal ?

Jedenfalls reduziert das mein Vertrauen in den Scanner gewaltig....

Nenn mir einen. Mit Link zur Virendatenbank eines beliebigen Virenscanners am besten.

Ich behaupte ja nicht dass es nicht möglich wäre, nur dass es bis jetzt nicht vorgekommen ist und daher die Scanner auch nicht darauf ausgelegt sind. Die erkennen ja auch nur was bekannt ist.

http://www.avira.com/en/threats?q=LINUX%2FClifax
http://www.avira.com/en/threats?q=LINUX%2FQuasi
http://www.avira.com/en/threats?q=LINUX%2FRootkit%2ESK%2E1

EDIT: hmmm, da stimmt wohl was nicht. habe diese ausgaben vom meinem antivir, ich bin mir sicher, dass vor ein paar wochen die links noch was sinnfolles angezeigt haben :(

so habe nun ein paar andere links:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Virus%3ALinux%2FClifax.A&ThreatID=-2147477069
http://www.linux.com/var/slashimages/003cafa35827b90891ad982d7fcf919d.plain

wie gefährlich oder was auch immer die machen weiß ich nicht, ich bezweifele auch, dass diese überhaupt noch funktionieren.

ich lebe unter linux auch ohne av-scanner ist mir einfach zu doof und wenn ich mir anschaue wie schwer es ist selbst cs-software unter linux zu installieren (oft genug geht es dann doch nicht weil die eigene glibc zu neu oder libXYZ die falsche version, ...) da stehen leute die vieren schreiben vor noch viel größeren problemen.

gruß iluminat23

hat es denn sowas wie ein GUI, oder ist auch nur via Muschel bedienbar?


es gibt für gnome ein kleines miniprogramm welches einem alarme von dazuko anzeigt. einrichten und on-demand scanns laufen über die shell.

ich schreibe derzeit ein programm für eine schule um mit einer gui auf einem standalone rechner usb-sticks und cds zu scannen. dafür baue ich eine gui für den avira. diese ist aber nur für diesen sonderfall einsetzbar und der parser für die ausgaben von avira ist nocht nicht wirklich brauchbar. wenn ich mal zeit habe werde ich das ding eventuell noch weiter ausbauen. derzeit habe ich aber leider viel zu viel zu tun.

gruß iluminat23

Interessehalber: wenn ich das doppelt gezippte Eicar Testfile "durchjage" ( http://www.eicar.org/download/eicarcom2.zip ) erkennt er es in der Form nicht. Habe ich was falsch konfiguriert oder ist das normal ?


also beim antivir ist das nicht so, bei mir zumindest nicht. dem kann man aber sagen wie tief er in archieven suchen soll und wie groß diese sein dürfen.

gruß iluminat23

EDIT: hmm nächstesmal packe ich wieder alles in einen post, sieht ja furchtbar aus, sry. der Zitieren button ist aber so schnell geklickt :(

Hallo Zusammen,

http://www.heise.de/newsticker/meldung/Virus-befaellt-Linux-und-Windows-40372.html
Hier sind mal direkt drei von der Partie. Abgesehen davon ist es schon lange so, dass es technisch möglich ist einen Linux Virus zu schreiben, Firefox und Co sei dank. Vielleicht macht der ja dann nicht das System unbrauchbar, ich habe hier aber gut 11gb an Bildern rum fliegen, von anderen Daten mal ganz ab, wenn mir die ein Schädling plättet bin ich locker einen Tag damit beschäftigt das alles wieder herzustellen.
Jetzt kann man natürlich Vorkehrungen dagegen treffen, dann hat man aber ein Arbeitsgefühl, wie bei Vista - sau unproduktiv.

Wegen des OAD, probiere mal auf der Console - als Root "avgctl --start=Oad", dann kannst du die auch nicht mehr laden, habe das gerade nochmal probiert, ansonsten musst du OAD Kernel-Modul kompilieren und installieren - s.a. http://free.avg.com/de-de/5.pnuid-1254306659

Wegen des GUIs, wenn ich es richtig verstanden, dann proggst du "nur" ein GUI um die Konsolenaufrufe und deren Ausgabe zu kapseln, eigentlich eine nette Idee, womit bzw. in welcher Sprache machst du das denn?

Gruß nopes

Diese drei sind ein- und derselbe. Und
28.03.2001 12:17hast du aber auch gesehen oder? ;)

der linux-virus von 2001 ist ein schlechter witz. wie da schon steht ein proof of concept. aber allein schon die tatsache, dass du eine datei ausführbar machen must um sie zu starten macht es echt schwer jemandem einen linux virus unter zu jubeln. hinzu kommt, dass der anweder kein schreibrechte auf die ganzen system resourcen hat und somit ein direkter angriff ausgeschloßen ist.

ich habe mich vor 2 semestern mal im zu eine vorlesung daran versucht selber ein exploit für eine extra von mir dafür geschriebenes programm zu erstellen. ich musste am ende aufgeben. stack randomization sei dank.

das gemeine an linux ist seine fielfältigkeit. selbst wenn ich den exploit auf meiner platform zum laufen bekommen hätte wäre dieser auf den meisten anderen platformen wohl abgeschmiert. wenn dann noch der stackprotector zum einsatz kommt ist es wirklich verdammt schwer da noch was zu machen.

es wird auch in naher zukunft keine wirklichen schädlinge für den linux desktop geben. eventuell scripte die der anwender runterladen muss oder probleme mit dem firefox weil der ******e mit javascript baut oder kaputtes flash. aber da hilft dir der an-access-scanner auch nicht weil der dateizugriffe überwacht und nicht den speicher in dem der angegriffene firefox/flash/... liegt.

fazit, wenn du einen scanner haben willst damit du dich sicherer fühlst ok. auch eine integration ins e-mail programm ist ok, aber bedenke, was ich und die anderen geschreiben haben. unter linux ist dein virenscanner eher ein schutz für windosen die von dir dateien bekommen.

gruß iluminat23

An der Stelle
aber allein schon die tatsache, dass du eine datei ausführbar machen must um sie zu starten macht es echt schwer jemandem einen linux virus unter zu jubeln. muss ich Illuminat leider widersprechen: ganze Branchen von Internet Kriminellen leben davon (bisher Windows ) Computerbenutzer dazu zu bringen ihre jeweilige .exe mit dem Schadcode auszuführen.


Die Windows Methode $Datei.pdf.exe ist nicht mehr so wirksam, die Methode "bitte installieren Sie Codec.exe (Link zum download) um $Stöhnvideo zu sehen" scheint dagegen sehr gut zu funktionieren und einfach nicht aus der Mode zu kommen ... :ugly

Oder man verschickt die .exe mit gefälschtem Absender so dass sie von einer zuverlässigen Quelle zu stammen scheint etc...


Diese Methode würde auch unter Linux funktionieren wenn die Verbreitung des Systems groß genug wäre ...

dazu fällt mir eine aussage aus einem anderen thread ein:
einfach
/bin/brain ausführen oder auf
/dev/brain zugreifen.

also wer so doof ist das zu machen, der schaltet auch seinen virenscanner ab weil die seite sagt, dass man das machen soll.

gruß iluminat23

Ich sehe die entsprechenden Mails schon vor mir:

"Bitte führen sie


sudo chmod 777 $UNSERE_TOLLE_DATEI

sudo ./$UNSERE_TOLLE_DATEI aus, um ......"

Wobei ......

.. werden wir dann entsprechende "Hilfää, des funzt ned, kann mir das einer idiotensicher erklären"-Threads bekommen, in denen dann irgendwelche Crashtest-Dummerle die Community fragen, wie sie sich ihr System zerschiessen können?

Mit eiskaltem Schauer auf dem Rücken,

RM

(P.S. Das mit dem sudo ist nicht zufällig gewählt, man muss ja die passende Zielgruppe ansprechen *feix*)

@Illuminat: damit hast du auch wieder recht. Wer solche Programme aus dubioser Qelle ausführt dem nützt ein Virenscanner auch nicht allzuviel...

@Rain_Maker:Ja, diese Fragen werden wir bekommen. Und ich freue mich auf die Rain_Maker Antworten auf solche Fragen .....

Hm, wie wäre es mit folgendem, neckischen Zitat, welches ich gerade eben als neue Signatur in einem anderen Forum gesetzt habe?



Die Gedankenfreiheit haben wir. Jetzt brauchen wir nur noch die Gedanken.

Vielleicht macht der ja dann nicht das System unbrauchbar, ich habe hier aber gut 11gb an Bildern rum fliegen, von anderen Daten mal ganz ab, wenn mir die ein Schädling plättet bin ich locker einen Tag damit beschäftigt das alles wieder herzustellen.

Wie wär's mit einem Backup? So ne externe HDD ist preislich auch nicht mehr die Rede wert und 11 GB sind selbst über USB innert einer Stunde kopiert.

Mal abgesehen davon schützt Dich der Virenscanner sowieso im besten Fall vor einer einzigen von vielen Gefahrenquellen. Und dass eine Festplatte mal eben den Geist aufgibt ist unter Linux statistisch um ein Vielfaches wahrscheinlicher als ein Schaden durch Virenbefall. Schütz Dich also besser davor als Zeit in Virenscanner zu verschwenden.


Jetzt kann man natürlich Vorkehrungen dagegen treffen, dann hat man aber ein Arbeitsgefühl, wie bei Vista - sau unproduktiv.

Genau! z.B. indem man Dienste installiert die jede Datei vor dem eigentlichen Öffnen auch nochmals durchlesen und Archive womöglich sogar rekursiv entpacken. Dadurch wird die Reaktionszeit verlangsamt und die CPU Load in die Höhe getrieben.

Merkst Du was?

Aus genau diesem Grund vertraue ich seit einiger Zeit selbst unter Windows lieber auf Brain.exe als auf einen Virenscanner. Mein Vista ist seither auch recht schnell unterwegs. Nur dazu würde ich nicht jedem raten da hier ein gutes Backup schon Pflicht ist.

Der Unterschied zwischen Linux und Windows:

* bei Windows gehört es dazu, dass du immer mal wieder eine EXE aus dem Internet lädst und sie ausführst, daher kann man Anwendern auch nicht wirklich einen Vorwurf machen, wenn sie das bei einem Virus tun

* bei Linux installiert man Software über den Paketmanager

.. ich finde das nicht auf die Schnelle in Google.. aber da gab es doch mal den Linux Fan der mit Überraschung feststellte dass sein experimentelles Repo das er für Freunde eingerichtet hatte in wild kursierenden "alles für dich" Ubuntu Repo Listen kursierte.. und der daraufhin ein Wallpaper mit Warnhinweis einstellte.... so richtig mit Totenkopf wie gefährlich das ist....

Statt dass die Betroffenen ihren Fehler eingesehen hätten wurde der auch noch verfolgt ....


=> Manche Leute binden sogar Repositories zweifelhafter Herkunft in ihren Paketmanager ein....

=> Nur weil jemand Linux benutzt muss er noch lange nicht brain.exe installiert haben ;-)

Ich vermute Du meinst das hier:

http://ikhaya.ubuntuusers.de/2006/11/20/eine-kleine-geschichte-ueber-fremde-paketquellen/

Genau ! Dieses Beispiel zeigt deutlich dass das Angriffstor (oder der Angriffs-Tor wie manns nimmt) zwischen Tastatur und Bildschirm auch bei Linux interessant wird sobald es nur genügend Anwender gibt.

Bezeichnend auch der "please blacklist" Kommentar zu diesem Bild: http://www.flickr.com/photos/trevi55/296804891/

.. nicht "blacklisten" sondern einfach aus der Repo Liste entfernen, wie es der Betreiber des Repositorys auch will ....


Wenn ich daran denke dass der Originator dieses Wallpapers noch angegriffen wurde weil die Benutzer nicht wussten wie sie sein Wallpaper wieder loswerden .....

Glaub ich nicht. An den repositories herumzuschrauben ist (glücklicherweise) viel zu kompliziert für die weniger technisch versierten Anwender. Denen sollte man einfach als Ratschlag geben:

* nutzt den Paketmanager
* wenn ihr dort was nicht findet, lasst es (fragt jemand, der sich auskennt)

Ist das so kompliziert?

.. äh.. das was RM verlinkt hat ist aber passiert.. irgendwie haben die Leute offensichtlich sources.list Dateien irgendwo heruntergeladen und dann nach Anleitung in ihr Ubuntu integriert .....

Einstein wird der Spruch nachgesagt "zwei Dinge sind grenzenlos.. das Universum und die menschliche Dummheit... bei dem Universum bin ich mir allerdings nicht ganz sicher"...

Vor allem wird bei größerer Verbreitung "der, der sich auskennt" das selbe Exemplar sein, welches $DURCHSCHNITTSDAU sich heute schon holt, wenn er jemanden kennt, der sich "damit auskennt"; irgendwer aus der Nachbar-/Verwandschaft, der zu >95% auch nicht mehr $AHNUNG sondern bestenfalls nur mehr Spieltrieb und schlechtestenfalls nur ne größere Klappe hat.

Manchmal habe ich das Gefühl, daß Linux mittlerweile zu einfach zu installieren geworden ist, auch wenn man so liest, wie hier (und in diversen anderen Foren) vermehrt eine bestimmte Art von "Opfern" aufschlägt, denen man eigentlich nicht mal administrativen Zugriff auf einen Taschenrechner geben sollte.

Aber so ist das nun mal (leider), "the rebel is put off by success".

Das verlinkte Beispiel zeigt doch nur, dass Menschen neugierig und/oder faul sind - was ins Internet gelangt, verbreitet sich nunmal. Auf die Dummheit irgendwelcher Leute würde ich das jedenfalls nicht schieben. Ganz im Gegenteil, ich finde es sogar etwas dumm von Johan, wenn er öffentlich ein repository anbietet, aber dann nicht will, dass es benutzt wird.

Ein gutes OS zeichnet sich IMHO durch diese beiden Eigenschaften aus:

* es legt dem versierten user so wenig Steine wie möglich in den Weg
* es schützt den Laien vor sich selbst

Beim letzten Punkt ist IMHO Mac OS X führend.