Hi! Vor ein paar Tagen habe ich von jemanden den Homepage-"Virus" per email bekommen, gute Freundin! :-) Dieser hat sich automatisch verschickt über ihr Outlook-Adressbuch. Diese Datei habe ich natürlich nicht geöffnet, aber ich frage mich, ob es unter Linux trotzdem gefährlich ist, diese infizierten Dateien zu öffnen??? Oder sind Würmer und trojanische Pferde nur unter Windows gefährlich und greifen das System an??? Wer weiss, welche Dateien auch bei Linux greifen??? Bin fast nie als "root" eingeloggt! Das dürfte doch auch ein wirksamer Schutz sein? Danke für die Info! Limbo (habe Suse Linux 7.1)
Hallo, On Wed, 16 May 2001 at 20:27 +0200, limbo@oleoleole.de wrote:
Vor ein paar Tagen habe ich von jemanden den Homepage-"Virus" per email bekommen, gute Freundin! :-) Dieser hat sich automatisch verschickt über ihr Outlook-Adressbuch.
<Ironie> Merke: Immer E-Mail-Adressen von Hand eingeben, wenn man Outlook oder ähnliche Mailprogramme verwendet. Das hat 2 Vorteile: * Nach einer Windows-Neuinstallation kennt der/die betreffende noch die Adresse und muss nicht nochmal nachfragen. * Man bleibt vor sowas verschont. </Ironie>
Diese Datei habe ich natürlich nicht geöffnet, aber ich frage mich, ob es unter Linux trotzdem gefährlich ist, diese infizierten Dateien zu öffnen???
Nein, diese sind nicht gefährlich. Außerdem was heißt "öffnen". Viele Leute verwecheln "öffnen" mit "ausführen". Das Öffnen einer Datei mit einem Textbetrachter (z. B. "less") ist grundsätzlich *nie* gefährlich. Gefährlich kann es nur werden, wenn man zum Öffnen mangelhaft programmierte Programme verwendet, die gerne mal "selbständig" Code ausführen, wie div. Officepakete (auch StarOffice hat Makrofunktionen!!) oder Windows-Mailclients. Mit einem Textbetrachter/Editor kann man Dateien immer gefahrlos öffnen, das sollte man sogar aus reiner Neugierde. Auch Bilder kann man mit Bildbetrachtungsprogrammen wie "xv", "gimp" o. ä. gefahrlos öffnen. Wenn man natürlich "intelligente" Dateimanager verwendet (z. B. Konqueror, Nautilus ...), bei denen bestimmte Dateitypen automatisch mit bestimmten Programmen verbunden werden, wird es eher gefährlich - aber wenn man weiß, was man tut, besteht auch hier keine Gefahr! Das einzige, was gefährlich werden kann, ist das *Ausführen* bestimmter Dateien auf dem eigenen Rechner. Und dabei ist es letztlich egal, ob Binärcode ausgeführt wird oder ob Skripte (in Bash, Perl) oder irgendwelche Programme in anderen Programmiersprachen (Java) interpretiert werden. Dateien löschen kann man immer! Ich könnte z. B. folgendes Skript per Mail verschicken: ========= #!/bin/sh rm -rf $HOME ========= OK, so primitiv würde wohl keiner vorgehen, der einem wirklichen Schaden zufügen will, weil es jeder sofort aus 10 m Entfernung erkennen kann, was das Skript macht. Du kannst es gefahrlos öffnen, mit less, nedit, emacs, ... Du darfst es aber nicht mit ./skript ausführen. Hierbei kommt der Umstand zu gute, dass man eigentlich nicht per E-Mail verschickte Dateien von Haus aus mit dem Ausführrencht austatten kann, wenn, dann über tar-Archive. Allerdings: wenn der Mailclient so "intelligente" Funktionen selber mitbringt, dann wird's wieder gefährlich ...
Oder sind Würmer und trojanische Pferde nur unter Windows gefährlich und greifen das System an???
In der Praxis werden eigentlich nur Würmer für Windows verschickt, meistens in VBA geschrieben, die vom Windows Skripting Host ausgeführt werden. Diese Dateien sind unter Linux ungefährlich - ganz einfach deshalb, weil kein Programm damit irgendetwas anfangen kann. Das einzige, was möglich ist: diese Datei (schließlich ist es Skript- und nicht Binärcode) mit less betrachten und sich - sofern man die Programmiersprache vesteht - darüber lustig machen, was dieser Wurm anrichten könnte ...
Bin fast nie als "root" eingeloggt! Das dürfte doch auch ein wirksamer Schutz sein?
Was heißt Schutz: Du hast halt nicht Zugriff auf alle Dateien. Das System kann man damit nicht löschen. Aber Dein Homeverzeichnis mit den ganzen Daten dürfte wertvoll genug sein ;-) Insgesamt heißt das Ganze: Egal unter welchem Betriebssystem man arbeitet: man sollte wissen, was man tut. Wenn der Mailclient keine Funktionen für solche Automatismen hat, ist man sicher. Wenn man aber den "Komfort" möchte, sollte man auch wissen, welche Dateien man wie wann mit welchen Rechten auf seinem Rechner ausführt! Auch Linux ist _nicht_ vor der Dummheit der User sicher!
(habe Suse Linux 7.1)
Das gleiche gilt für RedHat Linux, Debian Linux und sogar für andere Unices wie Solaris. Gruß, Bernhard -- Willst Du zusätzliche Schriften auf dem System installieren? Hier findest Du eine detaillierte Anleitung und zwei hilfreiche Skripte: http://home.t-online.de/~f.walle/schrifteninstallation/ ******************** Gnu PGP-Key: DDAF6454 * Tux# 171705 * ICQ# 98361051
On Wednesday 16 May 2001 20:49, Bernhard Walle wrote:
Hallo,
On Wed, 16 May 2001 at 20:27 +0200, limbo@oleoleole.de wrote:
Vor ein paar Tagen habe ich von jemanden den Homepage-"Virus" per email bekommen, gute Freundin! :-) Dieser hat sich automatisch verschickt über ihr Outlook-Adressbuch.
In der Praxis werden eigentlich nur Würmer für Windows verschickt, meistens in VBA geschrieben, die vom Windows Skripting Host ausgeführt werden. Diese Dateien sind unter Linux ungefährlich - ganz einfach deshalb, weil kein Programm damit irgendetwas anfangen kann. Das einzige, was möglich ist: diese Datei (schließlich ist es Skript- und nicht Binärcode) mit less betrachten und sich - sofern man die Programmiersprache vesteht - darüber lustig machen, was dieser Wurm anrichten könnte ... Genau das stimmt leider nicht...
Tja, ich hab den Wurm auch bekommen (auf eigenen Wunsch), aber ohne VBS-Decoder/Debugger, werde ich wohl nicht sehen, was er genau macht (Abgesehen davon, dass bei NAI genau beschrieben ist, dass 4 Pornoseiten angewählt werden usw.) Bei diesem Wurm ist nur ein kleiner Teil im Klartext :-( -- Mathias
On Wed, 16 May 2001 at 22:47 +0200, Mathias Weigt wrote:
On Wednesday 16 May 2001 20:49, Bernhard Walle wrote:
Hallo,
On Wed, 16 May 2001 at 20:27 +0200, limbo@oleoleole.de wrote:
Vor ein paar Tagen habe ich von jemanden den Homepage-"Virus" per email bekommen, gute Freundin! :-) Dieser hat sich automatisch verschickt über ihr Outlook-Adressbuch.
In der Praxis werden eigentlich nur Würmer für Windows verschickt, meistens in VBA geschrieben, die vom Windows Skripting Host ausgeführt werden. Diese Dateien sind unter Linux ungefährlich - ganz einfach deshalb, weil kein Programm damit irgendetwas anfangen kann. Das einzige, was möglich ist: diese Datei (schließlich ist es Skript- und nicht Binärcode) mit less betrachten und sich - sofern man die Programmiersprache vesteht - darüber lustig machen, was dieser Wurm anrichten könnte ... Genau das stimmt leider nicht...
Tja, ich hab den Wurm auch bekommen (auf eigenen Wunsch), aber ohne VBS-Decoder/Debugger, werde ich wohl nicht sehen, was er genau macht (Abgesehen davon, dass bei NAI genau beschrieben ist, dass 4 Pornoseiten angewählt werden usw.) Bei diesem Wurm ist nur ein kleiner Teil im Klartext :-(
In dem konkreten Fall hast Du recht: Das Skript war verschlüsselt, wobei der Key gleich mitgliefert wurde (sonst könnte das Skript ja nicht vom Skripting Host ausgeführt werden). Meistens ist es aber so. Gruß, Bernhard -- Mutt in andere Browser als Mailclient einbinden? KDE2-Konqueror: K-Menü >> Einstellungen >> Persönliche Einst. >> E-Mail : mutt %t Netscape 4.x: Muttzilla-Plugin ******************** Gnu PGP-Key: DDAF6454 * Tux# 171705 * ICQ# 98361051
limbo@oleoleole.de schreibt:
Hi! Hi
Vor ein paar Tagen habe ich von jemanden den Homepage-"Virus" per email bekommen, gute Freundin! :-) Dieser hat sich automatisch verschickt über ihr Outlook-Adressbuch. jo, hab den auch ein paar mal bekommen :)
Diese Datei habe ich natürlich nicht geöffnet, aber ich frage mich, ob es unter Linux trotzdem gefährlich ist, diese infizierten Dateien zu öffnen??? Oder sind Würmer und trojanische Pferde nur unter Windows gefährlich und greifen das System an??? Dieser Homepage Wurm ist mit dem Windows Scripting Host erstellt worden. ( Endung *.vbs ) Linux kennt diese "Scriptsprache" nicht, deshalb ist dieser Wurm ungefährlich. ( für Linux ;-)
Ich finde leider die Zeitung nicht mehr :( aber vor einigen Tagen stand da ein Artikel über einen ( wohl den ersten ) Wurm, der auch Linux bertifft.
Bin fast nie als "root" eingeloggt! Das dürfte doch auch ein wirksamer Schutz sein? Das auf jeden fall.
Danke für die Info! np
Am Mittwoch, 16. Mai 2001 20:50 schrieb Stefan Krauth:
limbo@oleoleole.de schreibt:
Bin fast nie als "root" eingeloggt! Das dürfte doch auch ein wirksamer Schutz sein?
Das auf jeden fall.
Naja, aber nur ein Schutz vor dem absoluten Gau. Obwohl: Wenn mein System kaputt wäre, wäre das nicht der Gau. Das kann ich schliesslich wieder installieren. Ein Gau wäre es, wenn meine Dateien weg wären. Auf die habe aber ich Zugriff. Also auch (fast) jedes von mir gestartete Programm/Script. Die Würmer, die in der letzten Zeit so grosses Aufsehen erlangt haben, könnten theoretisch auch unter Linux Schaden anrichten. Okay, zur Zeit gibt es keine Mailprogramme, die dann gleich irgendwelche Officedateien öffnen und entsprechende Makros abarbeiten oder ungefragt Scripte ausführen. Aber: Das, was die Würmer unter WinXX gemacht haben, hätten sie auch mit normalen User-Rechten unter Linux machen können. Hier gibt es keinerlei systemspezifische Hindernisse. Es gibt halt nur (bislang) keine entsprechenden Programme ... Hoffen wir, das das so bleibt. Heiner -- Heiner Lamprecht Philosophenweg 79 D - 72076 Tuebingen email: heiner@kijumfo.de http://www.kijumfo.de GnuKontor: http://agenda21.ggi.uni-tuebingen.de/heiner/gk/ KFLog: http://agenda21.ggi.uni-tuebingen.de/heiner/kflog/
On 16-May-01 limbo@oleoleole.de wrote:
Diese Datei habe ich natürlich nicht geöffnet, aber ich frage mich, ob es unter Linux trotzdem gefährlich ist, diese infizierten Dateien zu öffnen???
Oder sind Würmer und trojanische Pferde nur unter Windows gefährlich und greifen das System an???
Wer weiss, welche Dateien auch bei Linux greifen???
Also erstmal sind Schadprogramme, die für Windows-Systeme geschrieben wurden, für Linux in der Regel ungefährlich, da Linux so einfach keine Windows-Binaries ausführen kann und auch die üblichen Virenschleudern wie WSH, ActiveX und VBA unter Linux nicht greifen. Trotzdem ist Linux nicht grundsätzlich gegen Schadprogramme gefeit, im Prinzip ist es auch hier möglich, sowas zu schreiben. Nur die Hürden für eine Verbreitung sind sehr viel höher: - es existiert in der Regel keine Software-Monokultur wie unter Win, gerade bei den Mailprogrammen herrscht viel mehr Vielfalt und damit auch je Programm eine geringere Angriffsbasis - Ein Schadprogramm, das ein normaler Benutzer ausführt, kann auch nur mit dessen Rechten arbeiten. Das heißt, daß es nur die Dateien verändern kann, die dieser Benutzer auch verändern kann. Da im Gegensatz zu Windows standardmäßig kein Benutzer Schreibrechte auf Programmdateien haben sollte, ist z.B. eine Infektion zentraler Systemkomponenten durch ein Virus sehr unwahrscheinlich. Es ist aber sehr wohl möglich, daß ein Trojaner z.B. das Home-Directory oder Arbeitsdaten des Benutzers löscht oder manipuliert - hiergegen hilft nur Vorsicht und ein Backup. - Da außerdem kaum Raubkopien im Einsatz sind und die meiste Software völlig legal direkt vom FTP-Server des Distributors kommt (oder von dessen CD) ist auch hier ein Virenbefall eher unwahrscheinlich, es sei denn jemand würde diese Server kompromittieren, was recht schwierig sein dürfte. Software aus zweifelhafter Quelle, Raubkopien und Warez sind neben E-Mails die zweite große Quelle vor Allem für Viren unter Windows. - Ein E-Mail-Client, der per Default automatisch aktive Inhalte ausführt, ist mir unter Linux ebenfalls nicht bekannt. Wenn ein Benutzer weiß, wie er das aktivieren kann, dann hat er meist auch genug Know-How, um bei Mails wie ILOVEYOU zumindest mißtrauisch zu werden. Und er ist sich _bewußt_, daß er diese Funktion aktiviert hat. Es ist durchaus machbar, z.B. kmail dazu zu überreden, .sdw-Dateien gleich mit StarOffice aufzumachen - und die können wiederum auch Makros enthalten. Nur ist das gottseidank keine Voreinstellung, sondern man muß das selbst einrichten. - Weiterhin ist Linux auf dem Desktop im Vergleich zu Windows gering verbreitet und damit für Virenprogrammierer auch nicht so attraktiv. - Serverseitig sieht das evtl. anders aus, aber da sind eher automatisierte Würmer wie Ramen, die über Remote-Exploits ins System kommen, aktiv. Gegen diese wiederum hilft nur ein ordentliches Firewall-Konzept und das Up-To-Date-Halten sämtlicher von Außen erreichbarer Daemons und von diesen verwendeten Systemkomponenten.
Bin fast nie als "root" eingeloggt! Das dürfte doch auch ein wirksamer Schutz sein?
Es verringert die Angriffsfläche, endgültiger Schutz ist es nicht. Du verhinderst damit z.B., daß ein Virus den Kernel, die libc oder wichtige System-Binaries wie /bin/bash oder /bin/ls befallen kann (wenn die Rechte richtig gesetzt sind). Da Du z.B. im Homedirectory durchaus Schreibrechte hast, könnte immer noch deine .bashrc oder dein .profile befallen werden, und außerdem könnten natürlich deine persönlichen Daten gelöscht werden - dagegen hilft dann nur ein regelmäßiges Backup auf externe Datenträger. Gleiches gilt für selbst im Home installierte Programme (sollte man deshalb möglichst vermeiden). Ebensowenig verhindert das Anmelden als root, daß ein Angreifer z.B. eigene Software in /home/user ablegen und von dort ausführen kann - z.B. Rootkits, die lokale Exploits ausnutzen, oder den verteilten Programmteil einer DDoS. Dagegen kennt Linux noch wenig Schutzmaßnahmen - man könnte z.B. /home mit noexec mounten, müßte das aber auch mit allen anderen Datenträgern auf die der User schreiben darf, tun. Und Konstruktionen wie .profile / .bashrc funktionieren dann nicht mehr - man muß sich da also was neues ausdenken. Eine weitere Maßnahme wäre das Setzen strengerer ulimits, mit denen z.B. ein Überlasten der Maschine verhindert werden kann, oder Kernel-Erweiterungen, die über ein Process-Accounting z.B. den Zugriff auf Netzwerke nur bestimmten Binaries erlauben. Das ist aber mit einem Standard-Kernel AFAIK derzeit nicht möglich, hier kann man nur den Zugriff von Innen nach Außen allgemein auf bestimmte Ports beschränken. Eventuell sollte man mal über ein ACL-System nachdenken, mit dem Netzwerk-Funktionen und einzelne Protokolle/Ports nur bestimmten Binaries und bestimmten Benutzern erlaubt sind. Sowas könnte aber durchaus auf die Performance drücken und ist außerdem aufwendig zu administrieren. "Mit Linux wäre das nicht passiert" triffts also nicht so ganz, aber die Angriffsfläche ist zumindest bislang eindeutig wesentlich kleiner - wenn das System richtig administriert ist. -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de No Spam replies please.
On 16-May-2001 Erhard Schwenk wrote:
Trotzdem ist Linux nicht grundsätzlich gegen Schadprogramme gefeit, im Prinzip ist es auch hier möglich, sowas zu schreiben. Nur die Hürden für eine Verbreitung sind sehr viel höher:
- es existiert in der Regel keine Software-Monokultur wie unter Win,
So absolut wuerde ich das nicht mehr unterschreiben. StarOffice, KDE, Konqueror, Kmail, AcrobatReader sind z.B. Programme, die heute auf immer mehr Rechnern laufen. Gerade in der KDE-Hype und den Versuchen, auch unter Linux immer mehr zu automatisieren, sehe ich fuer die Zukunft sehr gute Ansatzpunkte fuer Viren-Programmierer.
gerade bei den Mailprogrammen herrscht viel mehr Vielfalt und damit
Vielfalt ja, aber es dominieren doch eindeutig einige wenige Programme.
- Ein Schadprogramm, das ein normaler Benutzer ausführt, kann auch nur mit dessen Rechten arbeiten. Das heißt, daß es nur die Dateien verändern kann, die dieser Benutzer auch verändern kann. Da im Gegensatz zu Windows standardmäßig kein Benutzer Schreibrechte auf Programmdateien haben sollte, ist z.B. eine Infektion zentraler Systemkomponenten durch ein Virus sehr unwahrscheinlich. Es ist aber
Bloss stoert mich der relativ wenig. Eine Neuinstallation ist immer moeglich (wenn auch natuerlich laestig).
sehr wohl möglich, daß ein Trojaner z.B. das Home-Directory oder Arbeitsdaten des Benutzers löscht oder manipuliert - hiergegen hilft
Gerade um das home-Verzeichnis sollte es aber bei allen Ueberlegungen besonders gehen.
nur Vorsicht und ein Backup.
ACK. Eine sinnvolle Backup-Strategie sollte bei allen Sicherheitsueberlegungen ganz weit vorne stehen.
- Ein E-Mail-Client, der per Default automatisch aktive Inhalte ausführt, ist mir unter Linux ebenfalls nicht bekannt. Wenn ein
Ich kann mich an eine Diskussion in dieser Liste erinnern (liegt allerdings schon sehr lange zurueck), dass z.B. pdf-Dateien ausfuehrbaren Code enthalten koennen. Und lesen wir nicht in dieser Liste immer haeufiger, dass user fragen, wie beim Anklicken bestimmter Dateien automatisch bestimmte Programme ausgefuehrt werden koennen (z.B. AcrobatReader)? Oder nach selbstentpackenden Archiven?
Benutzer weiß, wie er das aktivieren kann, dann hat er meist auch genug Know-How, um bei Mails wie ILOVEYOU zumindest mißtrauisch zu werden. Und er ist sich _bewußt_, daß er diese Funktion aktiviert hat.
NACK. Die Liste selbst demonstriert doch, dass auch fuer Linux immer weniger Know-How notwendig ist. Das ist natuerlich fuer die Verbreitung von Linux schoen, aber man sollte sich IMHO auch immer darueber klar sein, dass Linux damot potentiell auch fuer Viren-Programmierer interessanter wird.
Es ist durchaus machbar, z.B. kmail dazu zu überreden, .sdw-Dateien gleich mit StarOffice aufzumachen - und die können wiederum auch Makros enthalten. Nur ist das gottseidank keine Voreinstellung, sondern man muß das selbst einrichten.
Wenn man unter Windows ein Word-Dokument empfaengt, muss sich auch nicht MS Office/Word aufmachen, aber wer das als Systemadministrator nicht zu lassen will, muss schon ein sehr dickes Fell haben.
- Weiterhin ist Linux auf dem Desktop im Vergleich zu Windows gering verbreitet und damit für Virenprogrammierer auch nicht so attraktiv.
ACK. Bloss aendert sich das - leider?/gluecklicherweise?
"Mit Linux wäre das nicht passiert" triffts also nicht so ganz, aber die Angriffsfläche ist zumindest bislang eindeutig wesentlich kleiner
Volles ACK.
- wenn das System richtig administriert ist.
Und es keine User gibt ;-)
Beste Gruesse,
Heinz.
--
E-Mail: Heinz W. Pahlke
participants (7)
-
Bernhard Walle
-
Erhard Schwenk
-
Heiner Lamprecht
-
Heinz W. Pahlke
-
limbo@oleoleole.de
-
Mathias Weigt
-
Stefan Krauth