Hallo
Aber trotzdem meine Frage:
1. Ist es notwendig einen Virenkiller unter Linux einzusetzen????
nein, es ist nicht nötig. Also ein virus kann zwar in das linux-system einbrechen (in seltenen fällen) und dann sich von dort aus weiter fortflanzen. Aber allerdings kann er nichts anrichten (zumindest auf dem linux-system) Da das mit dem fortpflanzen nur ein problem ist, wenn der rechner ein server ist, dessen clients windows haben, sollte man sich einen scanner anschaffen.
. Wenn ja, welchen könnt ihr mir empfehlen???
in der ct nummer 18 dieses jahres ist ein test für virenscanner. Ich könnte ihn einscannen und als pm zuschicken, wenn bedarf ist. Gruß Sören Wengerowsky
Am Montag, 8. September 2003 15:25 schrieb Tursiopstruncat@aol.com:
Aber trotzdem meine Frage:
1. Ist es notwendig einen Virenkiller unter Linux einzusetzen????
nein, es ist nicht nötig.
Also das ist wohl der Totale Schmarrn!
Also ein virus kann zwar in das linux-system einbrechen (in seltenen fällen) und dann sich von dort aus weiter fortflanzen. Aber allerdings kann er nichts anrichten (zumindest auf dem linux-system) Da das mit dem fortpflanzen nur ein problem ist, wenn der rechner ein server ist, dessen clients windows haben, sollte man sich einen scanner anschaffen.
Es gibt auch Linux-Viren! Sie sind zwar eher Machbarkeitsstudien, können aber evtl. doch auch eine Gefahr darstellen! Und ausserdem, nur weil man Linux verwendet heisst dass nicht dass man Imun ist gegen alles was so im Net rumschwiert! Dabei handelt es sich um eine sehr trügerische Sicherheit!
. Wenn ja, welchen könnt ihr mir empfehlen???
in der ct nummer 18 dieses jahres ist ein test für virenscanner. Ich könnte ihn einscannen und als pm zuschicken, wenn bedarf ist.
Da ist aber keiner so wirklich gut ausgestiegen! Da kann ich das Script von Al empfehlen, das kombiniert zumindest 2 Scanner und lässt sich auch mit noch weiteren Viren-scannern erweitern! http://marc.theaimsgroup.com/?l=suse-linux&m=106251366611748&w=2 mfg mIke
Am Montag, 8. September 2003 19:52 schrieb Michael Messner:
Da kann ich das Script von Al empfehlen, das kombiniert zumindest 2 Scanner und lässt sich auch mit noch weiteren Viren-scannern erweitern!
http://marc.theaimsgroup.com/?l=suse-linux&m=106251366611748&w=2
Hallo Michael, als Vorbemerkung zu meinem Script, für die den vorigen Thread nicht verfolgt haben: Das Script dient eigentlich nur dazu, die wesentlichen Dinge des Logs anzuzeigen. Man sieht zwar bei den Standardlogs, dass Viren gefunden wurden, aber dann geht die Sucherei los, da es in der Regel sehr viele Meldung bzgl. Extractionerrors gibt. Damit nicht nochmal von mehreren gefragt wird, natürlich kann jeder dieses Script verwenden und anpassen. ich erwähne mal die von dir vorgeschlagenen Anpassungen per PM: SCANDIR=$1 Das ist natürlich eine Überlegung. Ich habe mir für die diverse Anwendungsfälle verschiedene Scripts gemacht und brauche das nicht. mount /dev/fd0 2> /dev/null ... Das erspart Fehlermeldungen, die aber auf die Analyse keinen Einfluß haben. Ebenso könnte man bei mkdir noch verfeinern. Dann könnte man noch, wie du vorgeschlagen hast, eine Abfrage einbauen, ob die Scanner uptodate sind. Bei mir läuft das Update per täglichem cronjob und das Restrisiko nicht ganz aktuell zu sein, gehe ich vorerst ein. Im Augenblick beschäftige ich mich aber vorwiegend zum Thema Viren unter welchen Umständen es zu einer Scheinsicherheit kommt, wie bereits bemerkt. Ich habe mir dazu ein paar Viren in ein Verzeichnis gegeben und 1 bis mehrmals komprimiert. Die Problematik mit f-prot habe ich ja bereits erwähnt, aber auch diese Datei auf einer Floppy mit PC-Cillin 2002 in einem WinPC getestet, wurde in der _Standardkonfiguration_ als virenfrei betrachtet. Man könnte nun darüber diskutieren, wie realistisch mehrfach gepackte Viren sind. Ich finde aber eher, dass man sich auf ein Prüfprogramm verlassen soll können, auch wenn keine direkte Gefahr ausgeht. Ein DAU wird nach solch einer Prüfung, die Datei vermutlich sorglos entpacken. Insofern frage ich mich auch, warum man bei amavis einen Default-Wert von 3 Ebenen hat. Wenn das Archiv nicht mehrfach gepackt ist, kostet auch ein höherer Wert nicht mehr Zeit und wenn es gepackt ist, dann will ich es wissen, ob da ein Virus versteckt ist. Insofern werde ich wohl von 5 noch auf 99 oder so erhöhen. Hat keiner eine Ahnung, warum die f-prot-Prüfung auf der HD fehlschlägt? Ich habe den starken Verdacht, dass dies mit der Anzahl der Komprimierungen zusammenhängt. -archive Scan inside supported archives. Supported archives are .zip, .cab, .tar, .gz, or removal of infected files within archives. Unix mailboxes are considered to be archives and therefore F-Prot Antivirus is not able to remove infected attachments. Hier wird rar nicht angeführt. Beim Mail-Scannen wurde aber das Rar-Archiv entpackt, sonst hätte die Fehlermeldung nicht kommen können. Im amavis-Script findet man: my $unrar = "/usr/bin/unrar" Entpackt etwa das amavis-Script beim Mailprüfen für f-prot die Dateien und beim HD-Prüfen muß es f-prot selber machen und kann es wegen der in der Manpage genannten Archive nicht?
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Hier mal das Ergebnis von meinem Script, wobei man sieht dass die Option "archive" verwendet wurde: Kurz-Zusammenfassung für client3:/home/ab/Documents am Mon 8. Sep 2003 20:58 Alarme: 8 ________________________________________________________________________________ gefunden von ANTIVIR: ALERT: [Worm/Cult.B virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_Cult.B-BlueMountaineCard.pif.virus.XXX <<< Contains signature of the worm Worm/Cult.B ALERT: [Worm/Gibe.B.3 virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_Gibe.B.3-Q264244.exe.virus.XXX <<< Contains signature of the worm Worm/Gibe.B.3 ALERT: [Worm/Klez.E virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_Klez_E_install.exe.virus.XXX <<< Contains signature of the worm Worm/Klez.E ALERT: [TR/InorDL.1 virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/TR_InorDL.1-error.hta.virus.XXX <<< The Trojan horse TR/InorDL.1 ALERT: [Worm/Bugbear.B virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_Bugbear.B-heim.zip.exe.virus.XXX <<< Contains signature of the worm Worm/Bugbear.B ALERT: [Worm/SpyBot.P2P.G virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_SpyBot.P2P.G_virus_Neighbor_Tanning_Nude.scr.virus.XXX <<< Contains signature of the worm Worm/SpyBot.P2P.G ALERT: [Worm/Sobig.F virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_Sobig.F-details.pif.virus.XXX <<< Contains signature of the worm Worm/Sobig.F ALERT: [Worm/Cult.B virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar <<< Contains signature of the worm Worm/Cult.B gefunden von F-PROT: Virenverdacht von F-PROT (could be): ________________________________________________________________________________ ANTIVIR Prüfung Zusammenfassung für client3:/home/ab/Documents Scanoptionen: -s -v -z -allfiles -e -ren -dmdel -dmds -r1 -rf/home/ab/virenpruefungen/letztes_antivir_log_fuer_documents_ab.txt -ra -lang=DE Verzeichnisse: 4 Dateien: 18 Alarme: 8 Repariert: 0 Gelöscht: 0 Umbenannt: 1 Benötigte Zeit: 00:00:01 -------------------------- F-PROT Prüfung Zusammenfassung für client3:/home/ab/Documents Scanoptionen: -ai -archive -collect -dumb -packed -report=/home/ab/virenpruefungen/letztes_fprot_log_fuer_documents_ab.txt Results of virus scanning: Files: 6 MBRs: 0 Boot sectors: 0 Objects scanned: 6 Time: 0:00 No viruses or suspicious files/boot sectors were found.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Versende ich diese Datei, aber per Mail, wobei amavis auf "my $MAX_ARCHIVE_NESTING = 5" angepasst wurde, dann gibt es folgende Meldung: Virus scanning report - 8 September 2003 @ 21:08 F-PROT ANTIVIRUS Program version: 4.2.0 Engine version: 3.13.4 VIRUS SIGNATURE FILES SIGN.DEF created 1 September 2003 SIGN2.DEF created 2 September 2003 MACRO.DEF created 8 September 2003 Search: /var/spool/vscan/amavis/amavis-11309898/parts Action: Report only Files: "Dumb" scan of all files Switches: -ARCHIVE -PACKED -COLLECT -AI /var/spool/vscan/amavis/amavis-11309898/parts/part-00006 Infection: W32/Cult.B@mm /var/spool/vscan/amavis/amavis-11309898/parts/part-00007 Infection: W32/Gibe.B@mm /var/spool/vscan/amavis/amavis-11309898/parts/part-00008 Infection: W32/Klez.H@mm /var/spool/vscan/amavis/amavis-11309898/parts/part-00009 Infection: VBS/Inor.B (exact) /var/spool/vscan/amavis/amavis-11309898/parts/part-00010 Infection: W32/Bugbear.B@mm /var/spool/vscan/amavis/amavis-11309898/parts/part-00011 Infection: W32/Spybot.BG (exact) /var/spool/vscan/amavis/amavis-11309898/parts/part-00012 Infection: W32/Sobig.F@mm (exact) Results of virus scanning: Files: 8 MBRs: 0 Boot sectors: 0 Objects scanned: 8 Infected: 7 Suspicious: 0 Disinfected: 0 Deleted: 0 Renamed: 0 Time: 0:00 Al
Hallo Al, hallo Leute, Am Montag 08 September 2003 21:19 schrieb Al Bogner:
Ich habe mir dazu ein paar Viren in ein Verzeichnis gegeben und 1 bis mehrmals komprimiert. [...]
Man könnte nun darüber diskutieren, wie realistisch mehrfach gepackte Viren sind. Ich finde aber eher, dass man sich auf ein Prüfprogramm verlassen soll können, auch wenn keine direkte Gefahr ausgeht. Ein DAU wird nach solch einer Prüfung, die Datei vermutlich sorglos entpacken. Insofern frage ich mich auch, warum man bei amavis einen Default-Wert von 3 Ebenen hat. Wenn das Archiv nicht mehrfach gepackt ist, kostet auch ein höherer Wert nicht mehr Zeit und wenn es gepackt ist, dann will ich es wissen, ob da ein Virus versteckt ist. Insofern werde ich wohl von 5 noch auf 99 oder so erhöhen.
Sicher, dass Du das willst? Mehrfach gepackte Archive können nämlich auch zu einer Denial of Service-Attacke auf Deinen Server genutzt werden. Ich hab hier eine nette Datei "42.zip", die mehrfach gepackt ist - wenn man alles entpackt, kommen hunderte _GB_ (!) raus. Damit kann man den Virenscanner bzw. "unzip" erstmal eine Zeitlang beschäftigen ;-) Keine Angst, ich verschicke diese Datei nicht (es sei denn, Du willst sie unbedingt - dann aber auf eigenes Risiko ;-)
Hat keiner eine Ahnung, warum die f-prot-Prüfung auf der HD fehlschlägt? Ich habe den starken Verdacht, dass dies mit der Anzahl der Komprimierungen zusammenhängt.
-archive Scan inside supported archives. [...]
Hier wird rar nicht angeführt. Beim Mail-Scannen wurde aber das Rar-Archiv entpackt, sonst hätte die Fehlermeldung nicht kommen können.
Im amavis-Script findet man: my $unrar = "/usr/bin/unrar"
Entpackt etwa das amavis-Script beim Mailprüfen für f-prot die Dateien
Ich kenne amavis nicht, aber es sieht so aus, als ob es die Dateien zuerst entpackt und dann an den Virenscanner weiterreicht.
und beim HD-Prüfen muß es f-prot selber machen und kann es wegen der in der Manpage genannten Archive nicht?
So wird es wohl sein ;-) Gruß Christian Boltz PS: Was Dein Script zum Virenscannen angeht - das ist soweit OK, dass ich eine Antwort auf Deine Mail in der Liste als unnötig betrachtet habe ;-) -- "Hast du schon gehoert: Ein Bug im Netscape Navigator erlaubt es jedem, übers Internet deine Festplatte zu lesen." - "Weiss ich, deshalb bleibe ich ja auch bei Netscape - wenn's ein Microsoft-Bug waere, dann dürfte jeder meine Festplatte auch noch beschreiben..."
participants (4)
-
Al Bogner
-
Christian Boltz
-
Michael Messner
-
Tursiopstruncat@aol.com