virus unter linux (was: partition umbenennen)
hallo liste, es tut mir leid, aber es stimmt tatsächlich, das es Unix/Linux-Viren gibt. Wenn Ihr nchlesen wollt habe ich hier einige Links zusammengestellt. Ich habe hierfür Google benutzt (Suchbegriff: 'linux And virus') http://math-www.uni-paderborn.de/~axel/bliss/ http://www.techtv.com/cybercrime/story/0,23158,3306626,00.html http://www.newsfactor.com/perl/story/8529.html http://www.softlandindia.com/Linux/Virus.htm -> Anmerkung: Warum sollte ein Virus-Scanner für reine Linux-Workstations entwickelt werden? http://stason.org/TULARC/os/linux.virus.html http://www.theregister.co.uk/content/8/17938.html http://www.europe.f-secure.com/v-descs/adore.shtml http://www.europe.f-secure.com/v-descs/lindose.shtml Ich habe mir nur wenige results angeschaut aber ich denke 360.000 Resultate sprechen für sich. Einer der ersten Viren für Unix-Systeme ist 1996 aufgetaucht (siehe 1. Link). Deshalb wundert es mich etwas, das ihr so reagiert. Na Schwamm drüber, ich denke nur, dass man die Virus-Gefahr nicht ausser acht lassen sollte, von daher fand ich die Nachfrage nach bekannten Viren und ob man sich schützen kann berechtigt. Gruss Guido
On Sat, Sep 15, 2001 at 11:39:04PM +0200, Guido Schiffer wrote:
hallo liste,
es tut mir leid, aber es stimmt tatsächlich, das es Unix/Linux-Viren gibt. Wenn Ihr nchlesen wollt habe ich hier einige Links zusammengestellt. Ich habe hierfür Google benutzt (Suchbegriff: 'linux And virus')
http://math-www.uni-paderborn.de/~axel/bliss/ http://www.techtv.com/cybercrime/story/0,23158,3306626,00.html http://www.newsfactor.com/perl/story/8529.html http://www.softlandindia.com/Linux/Virus.htm -> Anmerkung: Warum sollte ein Virus-Scanner für reine Linux-Workstations entwickelt werden?
Hi Guido, ich bin ja kein Experte, aber die Viren dieser Links brauchen alle root-Rechte, sonst läuft gar nix. Wer als root im Internet surft oder unbekannte executables ausführt, läuft natürlich Gefahr, sich was einzufangen, da dann das System genauso ungeschützt ist wie Winxx , oder seh ich das falsch? AFAIK gibt es 1-2 Ring-0-Viren, die auch ein geschütztes Linux-System "befallen" können, diese sind jedoch erstens nicht im Umlauf und zweitens nur zu Studienzwecken "erstellt" worden. Gruss Andre -- Andre Best * andre.best@web.de * Westerwald/Germany
Andre Best wrote:
On Sat, Sep 15, 2001 at 11:39:04PM +0200, Guido Schiffer wrote:
hallo liste,
es tut mir leid, aber es stimmt tatsächlich, das es Unix/Linux-Viren gibt.
Ja, sicherlich. Sie haben nur bisher eine geringere Bedeutung als Viren für Windows-Systeme, da es weniger potentielle Abnehmer gibt.
Wenn Ihr nchlesen wollt habe ich hier einige Links zusammengestellt. Ich habe hierfür Google benutzt (Suchbegriff: 'linux And virus') ^^^^^^^^^^^^^^^
Die Anfrage liefert auch Seiten, auf denen (fälschlich) behauptet wird, ein Virus für Linux sei nicht möglich. Die in der Ursprungs-Mail genannte Zahl von 360.000 Resultaten verliert damit etwas an Aussagekraft, aber an der eigentlichen Aussage ändert das natürlich nichts.
http://math-www.uni-paderborn.de/~axel/bliss/ http://www.techtv.com/cybercrime/story/0,23158,3306626,00.html http://www.newsfactor.com/perl/story/8529.html http://www.softlandindia.com/Linux/Virus.htm
ich bin ja kein Experte, aber die Viren dieser Links brauchen alle root-Rechte, sonst läuft gar nix.
Mag sein, daß das für die dort aufgeführten Viren gilt. (Ich habe mir die Links nicht angesehen.) Das heißt aber nicht, daß ein Virus grundsätzlich root-Rechte bräuchte. Für viele Zwecke, z.B. Angriffe auf die Arbeitsdateien von Benutzern, Weiterverbreitung per Mail, Installation von Trojanischen Pferden in ~/bin u.v.m. reichen die Zugriffsrechte eines normalen Benutzers völlig aus. Wenn mehrere Benutzer sich selbst installierte Programme teilen, ist der Befall von Accounts anderer Benutzer auch möglich. Nur kann ein Schadprogramm eben unter diesen Umständen nicht direkt zentral installierte Programme, die Systemkonfiguration etc. verändern. Indirekt ist aber selbst das denkbar. Z.B. könnte ein Administrator als root ein Programm eines vertrauenswürdigen Benutzers (z.B. von seinem eigenen persönlichen Account) ausführen. Wenn dieses Programm zuvor durch einen Angriff manipuliert wurde, war's das. Oder ein Schadprogramm nutzt bekannte Sicherheitslücken in SUID-root-Programmen aus. Immerhin ist es gar nicht abwegig, aus Bequemlichkeit zu sagen: "Auf meinem System gibt's nur wenige, ausnahmslos vertrauenswürdige Benutzer (die vielleicht ohnehin alle das root-Paßwort haben), da ist das Beheben von nur durch lokale Benutzer ausnutzbaren Sicherheitslücken (im Gegensatz zu direkt über das Netz ausgenutzbaren) nicht so wichtig. Solche Angriffsmöglichkeiten für Schadprogramme basieren zwar auf Nachlässigkeit, sind in der Praxis aber durchaus zu erwarten.
Wer als root im Internet surft oder unbekannte executables ausführt, läuft natürlich Gefahr, sich was einzufangen, da dann das System genauso ungeschützt ist wie Winxx , oder seh ich das falsch?
Das siehst Du richtig. Aber prinzipiell ist auch sonst ein erfolgreicher Angriff nicht automatisch ausgeschlossen (s.o.). Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
Hallo Guido, Guido Schiffer wrote:
es tut mir leid, aber es stimmt tatsächlich, das es Unix/Linux-Viren gibt.
Es hat AFAIK auch niemand behauptet, dass dem nicht so ist. Nur gibt es einige fundamentale Unterschiede zu Windows-Viren....
Wenn Ihr nchlesen wollt habe ich hier einige Links zusammengestellt. Ich habe hierfür Google benutzt (Suchbegriff: 'linux And virus')
[Link-Liste gekuerzt]
Ich habe mir nur wenige results angeschaut aber ich denke 360.000 Resultate sprechen für sich. Einer der ersten Viren für Unix-Systeme ist 1996 aufgetaucht (siehe 1. Link). Deshalb wundert es mich etwas, das ihr so reagiert.
Nun, wenn Du Dir die Link-Liste mal genauer anschaust, dann wirst Du schnell feststellen, dass diese Viren im Normalfall nicht viel anstellen koennen. Normalfall heisst in diesem Zusammenhang, dass man ein paar simple Regeln beachtet und dass Dein System ordent- lich konfiguriert und gewartet ist. Z.B. sollte man nie als Root auf dem System arbeiten, ausser es ist wirklich notwendig. Die meisten Viren koennen wirklich nur essentiellen Schaden anrich- ten, wenn sie Root-Rechte haben. Leider gibt es immer noch sehr viele Leute, die sich standardmaessig als Root einloggen und un- ter diesem Account arbeiten. Du solltest nie als Root im Internet surfen. Du solltest stets sicherheitsrelevante Patches oder Updates fuer Pakete einspielen, wenn dadurch Sicherheitsprobleme behoben werden. Es ist auch nicht noetig, Software, die man aus dem Inter- net heruntergeladen hat, als Root zu compilieren - warum auch? Man kann die Software als normaler User compilieren, nur zum In- stallieren muss man eben ein "su" machen und anschliessend ein "make install" eingeben. Davor sollte man natuerlich noch pruefen, was ein "make install" alles ausfuehrt. Mit Beachtung einiger simpler Regeln ist es so moeglich, die Ge- fahr durch Viren (oder Skripte, Programme, die Schaden anrichten wollen) sehr einzuschraenken. Wenn ich als normaler User ein "rm -rf /" eingebe, dann passiert halt im Prinzip nicht so viel, wenn ich es als Root eingebe, dann ist das System weg. Essentieller Schaden am System gibt es also meist nur, wenn Programme unter Root laufen. Das Einspielen von Sichereheitspatches bei Programmen dient u.a. dazu, dass kein normaler User (oder auch ein Programm) einen Bug ausnutzt, um Root Rechte zu erhalten. So gesehen ist also die Gefahr von Viren unter Linux bedeutend kleiner, wobei sie natuerlich durchaus noch besteht. Gruesse, Thomson -- Thomas Hertweck, Geophysicist Geophysical Institute, University of Karlsruhe Hertzstr. 16, D-76187 Karlsruhe, Germany
Hallo Thomson, * Thomas Hertweck schrieb am 16.Sep.2001:
Mit Beachtung einiger simpler Regeln ist es so moeglich, die Ge- fahr durch Viren (oder Skripte, Programme, die Schaden anrichten wollen) sehr einzuschraenken. Wenn ich als normaler User ein "rm -rf /" eingebe, dann passiert halt im Prinzip nicht so viel, wenn ich es als Root eingebe, dann ist das System weg. Essentieller Schaden am System gibt es also meist nur, wenn Programme unter Root laufen. Das Einspielen von Sichereheitspatches bei Programmen dient u.a. dazu, dass kein normaler User (oder auch ein Programm) einen Bug ausnutzt, um Root Rechte zu erhalten. So gesehen ist also die Gefahr von Viren unter Linux bedeutend kleiner, wobei sie natuerlich durchaus noch besteht.
ACK, aber sollte man nicht noch etwas vorsichtiger sein? Wenn ich als User rm -rf / eingebe ist fast alles wichtige weg. Die ganzen anderen Dateien, Programmen usw. die nicht weg sind, kann ich bis auf ein paar Konfigurationen auch von der SuSE-CD habe. Um es klar zu sagen: Nicht als root zu arbeiten schützt mich im Ernstfall davor, nach dem Crash sendmail neu konfigurieren zu müssen, sonst aber nichts. Alle meine schönen selbstgeschriebene Programme, Dateien und auch alle meine Mails sind weg wenn ich ein übles Programm als User ausführe. Daher die Frage: Ist es nicht besser, wenn man mit meheren User arbeitet? Also neben root und seinen normalen User noch mindestens ein Administrator? Vielleicht auch ein eigener User nur fürs Internet? Bernd -- Alle meine Signaturen sind rein zufällig und haben nichts mit dem Text oder dem Schreiber zu tun, dem ich antworte. Falls irgendwelche Unrichtigkeiten dabei sein sollten, so bedauere ich das. Es wäre nett, wenn Du mich benachrichtigen würdest. |Zufallssignatur 0
Hi Benrd On Sun, Sep 16, 2001 at 12:37:57PM +0200, Bernd Brodesser wrote:
davor, nach dem Crash sendmail neu konfigurieren zu müssen, sonst aber nichts. Alle meine schönen selbstgeschriebene Programme, Dateien und auch alle meine Mails sind weg wenn ich ein übles Programm als User ausführe.
Ack
Daher die Frage: Ist es nicht besser, wenn man mit meheren User arbeitet? Also neben root und seinen normalen User noch mindestens ein Administrator? Vielleicht auch ein eigener User nur fürs Internet?
Prinzipiell hast du recht, eigentlich wäre das nötig wenn man paranoid genug ist, aber dem steht ein gewisser Aufwand gegenüber den sicherlich die wenigsten gewillt sind zu betreiben, ein gehöriges Mass Skepsis und die Frage was will mir der Mailversender/Programmauthor da jetzt eigentlich unterjubeln hält bislang auch unter Win gut 80% des Unrats fern* unter unix behaupte ich sogar das dieser %satz derzeit nahe 99% liegt. Die Frage ist also welchen Aufwand bin ich bereit zu treiben? Und ausserdem sollte sich dringend die Erkenntnis breit machen das Sicherheit kein Zustand sondern ein Prozess ist, wie im richtigen Leben. *) Für den aktuell im Umlauf befindlichen Rest gibts einige probate Mittel, sofern unix am Mailtransport beteiligt ist. -- MfG. Falk
Am Sonntag, 16. September 2001 13:41 schrieb Falk Sauer:
Hi Benrd
On Sun, Sep 16, 2001 at 12:37:57PM +0200, Bernd Brodesser wrote:
davor, nach dem Crash sendmail neu konfigurieren zu müssen, sonst aber nichts. Alle meine schönen selbstgeschriebene Programme, Dateien und auch alle meine Mails sind weg wenn ich ein übles Programm als User ausführe.
Ack
Daher die Frage: Ist es nicht besser, wenn man mit meheren User arbeitet? Also neben root und seinen normalen User noch mindestens ein Administrator? Vielleicht auch ein eigener User nur fürs Internet?
[...]
Die Frage ist also welchen Aufwand bin ich bereit zu treiben? Und ausserdem sollte sich dringend die Erkenntnis breit machen das Sicherheit kein Zustand sondern ein Prozess ist, wie im richtigen Leben.
Stimmt. Und bezogen auf das, was Bernd geschrieben hat: regelmäßige Backups schützen hier vor zu grossem Datenverlust. Und gleichzeitig deckt man damit eine ganze Reihe von möglichen Ursachen ab. Dir könnte ja auch z.B. die Platte abrauchen. Dagegen kannst Du Dich auch mit einer beliebigen Aufteilung der Arbeiten auf mehrere Nutzer nicht schützen. Heiner -- Heiner Lamprecht Philosophenweg 79 D - 72076 Tuebingen Fon: +49-7071-600 162 Fax: +49-7071-600 164 heiner@kflog.de GnuPG - Key: E05AEAFC Fingerprint: 257A DFBF 4977 4585 77A0 3509 973B 92AA E05A EAFC
On Sun, Sep 16, 2001 at 01:51:01PM +0200, Heiner Lamprecht wrote:
Am Sonntag, 16. September 2001 13:41 schrieb Falk Sauer:
Hi Benrd
On Sun, Sep 16, 2001 at 12:37:57PM +0200, Bernd Brodesser wrote:
davor, nach dem Crash sendmail neu konfigurieren zu müssen, sonst aber nichts. Alle meine schönen selbstgeschriebene Programme, Dateien und auch alle meine Mails sind weg wenn ich ein übles Programm als User ausführe.
Mal ne blöde Frage: Warum muß ich sendmail neu aufspielen, wenn ich als user "rm -rf /" eingebe? Ich hab weder Schreibberechtigung für /etc/sbin/sendmail noch für /etc/sendmail.cf. Das meine eigenen Files weg sind, is OK, aber das System is doch noch da...sonst könnte man sich den Multi-user-Aufwamd ja auch sparen, wenn sowieso jeder User das System einfach löschen könnte, oder? Gruss Andre -- Andre Best * andre.best@web.de * Westerwald/Germany
* Andre Best schrieb am 16.Sep.2001:
On Sun, Sep 16, 2001 at 01:51:01PM +0200, Heiner Lamprecht wrote:
Am Sonntag, 16. September 2001 13:41 schrieb Falk Sauer:
On Sun, Sep 16, 2001 at 12:37:57PM +0200, Bernd Brodesser wrote:
davor, nach dem Crash sendmail neu konfigurieren zu müssen, sonst aber nichts. Alle meine schönen selbstgeschriebene Programme, Dateien und auch alle meine Mails sind weg wenn ich ein übles Programm als User ausführe.
Mal ne blöde Frage: Warum muß ich sendmail neu aufspielen, wenn ich als user "rm -rf /" eingebe? Ich hab weder Schreibberechtigung für /etc/sbin/sendmail noch für /etc/sendmail.cf.
Du mußt es dann eben nicht machen, wenn Du es als root machtest, dann müßtest Du es neu eingeben. Ich sagte, daß wäre ungefähr der einzige Unterschied. Alles andere ist von der CD zu holen oder einfach.
Das meine eigenen Files weg sind, is OK, aber das System is doch noch da...sonst könnte man sich den Multi-user-Aufwamd ja auch sparen, wenn sowieso jeder User das System einfach löschen könnte, oder?
Schon richtig, aber alles andere ist ja auf CD. Nun gut, solche Sachen wie Logfiles können schon ärgerlich sein, wenn sie weg sind. Bernd -- Probleme mit dem Drucker? Schon die Druckercheckliste beachtet? http://localhost/doc/sdb/de/html/drucker-howto.html | Auch lesenswert: Oder schon das Drucker-HOWTO gelesen? | man lpr file://usr/shar/doc/howto/de/DE-Drucker-HOWTO.txt.gz | Zufallssignatur 3
Hallo, * On Sun, Sep 16, 2001 at 04:37 PM (+0200), Bernd Brodesser wrote:
* Andre Best schrieb am 16.Sep.2001:
Das meine eigenen Files weg sind, is OK, aber das System is doch noch da...sonst könnte man sich den Multi-user-Aufwamd ja auch sparen, wenn sowieso jeder User das System einfach löschen könnte, oder?
Schon richtig, aber alles andere ist ja auf CD. Nun gut, solche Sachen wie Logfiles können schon ärgerlich sein, wenn sie weg sind.
Oder natuerlich auch selbstgeschriebene bzw. angepasste Konfigurations- dateien, z.B. eine modifizierte "sendmail.cf" bzw. die zugrundeliegende "m4"-Datei. Die Dinge, die ich manuell angepasst habe, sichere ich in der Regel nochmals separat, um sie schnell restaurieren zu koennen (wenn z.B. mal ein falsch eingestelltes "SuSEConfig" etwas ueberschrieben hat)... ;-) Viele Gruesse, Steffen
On Sun, Sep 16, 2001 at 04:37:39PM +0200, Bernd Brodesser wrote:
ich als user "rm -rf /" eingebe? Ich hab weder Schreibberechtigung für /etc/sbin/sendmail noch für /etc/sendmail.cf.
Du mußt es dann eben nicht machen, wenn Du es als root machtest, dann müßtest Du es neu eingeben. Ich sagte, daß wäre ungefähr der einzige Unterschied. Alles andere ist von der CD zu holen oder einfach.
Sorry, wenn da nochmal nachhaken möchte, aber grundsätzlich konnte doch nicht geklärt werden, wie es mit Viren unter Linux aussieht. Von Trojanern mal abgesehen, dürfte Linux (wie OS2 auch) gegen Viren weitestgehend resistend sein. Werden die Leserechte den Dateien entsprechend "richtig" gesetzt, haben auch Trojaner kaum ein Chance, also warum Virenscanner für Linux??? Natürlich fliessen Benutzerfehler (als root surfen,...) hier mit ein, aber der eigentliche Virus, so wie wir ihn von WinDOS kennen, hat doch gar keine Chance in diesen Systemen. Ich habe einige Jahre mit OS2 gearbeitet (und tue es derzeit noch aufgrund (Spezial-) Softwaremangel unter Linux), sodaß ich mich diesbezüglich etwas auszukennen gedenke. Das OS selbst läuft im Gegensatz zu allen WinX- Systemen auf dem Prozessor-Level-0 (höchste Sicherheitsstufe), Winxx läuft wie alle Anwendungen auf Ring-3, d.h. das System würde gar nicht merken, (sollte ich was verwechselt haben, bitte Info :-) ) wenn es während der Laufzeit gelöscht wird. Deshalb halte ich Viren für diese (OS2,Linux,NT) für relativ schwierig zu programmieren, man kann nicht einfach "einsteigen", ohne das OS zu umgehen! Mich würde wirklich mal interessieren, was es mit den angeblichen Viren für diese Systeme auf sich hat, Ihr habt doch damit mehr Erfahrung...! Die einzige Chance hier einzudringen, sind der Erhalt von root-Rechten, wie hoch ist die Chance/Möglichkeit, eine Datei aus dem Net zu holen, im user-home-dir zu speichern und damit irgendwie root-Rechte zu kriegen? Wer hatte von Euch schon Kontakt mit Linux-Viren? Gruss A. -- Andre Best * andre.best@web.de * Westerwald/Germany
Hallo Liste, <schnipp> Sorry, wenn da nochmal nachhaken möchte, aber grundsätzlich konnte doch nicht geklärt werden, wie es mit Viren unter Linux aussieht. Von Trojanern mal abgesehen, dürfte Linux (wie OS2 auch) gegen Viren weitestgehend resistend sein. Werden die Leserechte den Dateien entsprechend "richtig" gesetzt, haben auch Trojaner kaum ein Chance, also warum Virenscanner für Linux??? Ich habe mal den 'Linux Hacker's Guide' von anonymous (Mark+Technik, 1999, ISBN3-8272-5622-4) gewälzt und folgende Info gefunden: S. 120 f: "... Während der Installation kümmert sich Linux um die Rechte für die Betriebssystemdateien. (Das heißt Linux entpackt diese Dateien mit den Rechten, die der jeweilige Autor der Anwendung festgelegt hat.) Allerdings sind diese Rechte nicht immer korrekt. Manchmal vergeben Autoren zu strikte Zugriffsrechte und manchmal zu lasche. (Diese Zugriffsrechte können auf Ihr System übertragen werden, wenn SIe ein Paket entpacken.) Wie Sie im nächsten Abschnitt sehen werden, kann es dadurch zu Sicherheitsproblemen kommen. DATEIEN MIT BESONDEREN RECHTEN Schließlich gibt es noch zwei besondere Dateiberechtigungen: SGID (Setzen der Gruppen-ID, oktal 2000 oder S) SUID (Setzen der User-ID oktal 4000 oder s) Programme mit SGID- oder SUID-Rechten sind etwas besonderes, weil sie auch dann automatisch die Rechte Ihrer Eigentümer bekommen, wenn andere Benutzer sie ausführen. Das heißt, ein Programm das auf SUID root gesetzt ist. läuft immer als root, selbst wenn ein normaler Benutzer es verwendet. Aus diesem Grund können SGIUD- und SUID-Dateien eine Gefahr für die Sicherheit darstellen. HINWEIS Wenn Angreifer (Anmerkung meinerseits: ein Virus ist ein Angreifer) Schwachstellen in auf SUID root gesetzten Programmen ausnutzen können, ist es möglich, dass sie an root-Privilegien gelangen. Welche Dateien SUID gesetzt sind, finden Sie so heraus: find / -perm +4000 ..." Ein Check-Skrip findet Ihr unter: http://www.biologie.uni-freiburg.de/data/suid.html Der Autor (mischa@deep-thought.biologie.uni-freiburg.de) empfiehlt das Skript per cron-job laufen zu lassen. Anonymous hat eine über 2 Seiten lange Liste mit Schwachstellen im Zusammenhang mit SUID beigefügt. Die aufgeführten Programme (z.B. kppp, libXT, crond, gnuplot) sind mitlerweile sicherlich auch in der Hinsicht überarbeitet, dafür gibt es heute andere (z.B. bei Suse 7.0: expiry, XFree86). <schnipp> Natürlich fliessen Benutzerfehler (als root surfen,...) hier mit ein, aber der eigentliche Virus, so wie wir ihn von WinDOS kennen, hat doch gar keine Chance in diesen Systemen. Ich habe einige Jahre mit OS2 gearbeitet (und tue es derzeit noch aufgrund (Spezial-) Softwaremangel unter Linux), sodaß ich mich diesbezüglich etwas auszukennen gedenke. Das OS selbst läuft im Gegensatz zu allen WinX- Systemen auf dem Prozessor-Level-0 (höchste Sicherheitsstufe), Winxx läuft wie alle Anwendungen auf Ring-3, d.h. das System würde gar nicht merken, (sollte ich was verwechselt haben, bitte Info :-) ) wenn es während der Laufzeit gelöscht wird. Deshalb halte ich Viren für diese (OS2,Linux,NT) für relativ schwierig zu programmieren, man kann nicht einfach "einsteigen", ohne das OS zu umgehen! ACK. Anonymous schreibt folgendes: auf S. 195: "Der Grund dafür, ist nicht etwa, dass sich die Virenautoren gegen Microsoft verschworen hätten, sondern, dass Unix einfach ein schlechter Brutplatz für Viren ist. Wie Sie ... gelesen haben, gibt es bei Unix eine auf Benutzern und Gruppen basiernede Zugriffskontrolle... Daher istr es schwierig (Anmerkung meinerseits: also prinzipiell nicht unmöglich, da bereits Viren zu Testzwecken entwickelt wurden), einen Virus zu schreiben, der sich in einem Unix Umgebung ausbreiten kann..." Mich würde wirklich mal interessieren, was es mit den angeblichen Viren für diese Systeme auf sich hat, Ihr habt doch damit mehr Erfahrung...! Die einzige Chance hier einzudringen, sind der Erhalt von root-Rechten, ACK. s. oben wie hoch ist die Chance/Möglichkeit, eine Datei aus dem Net zu holen, Zur statistischen Wahrscheinscheinlichkeit: Microsoft-Viren:Unix/Linux-Viren = annähernd Null im user-home-dir zu speichern und damit irgendwie root-Rechte zu kriegen? Dadurch noch nicht. Erst die Ausführung einer infizierten Datei bringt die Bescherung (s. oben). Wer hatte von Euch schon Kontakt mit Linux-Viren? Ich glaube noch keiner. Gruss Guido
Am Sonntag, 16. September 2001 21:22 schrieb Guido Schiffer: [durchaus richtiges gelöscht] Eine grosse Bitte: Schau Dir mal an, wie man korrekt quoted. Du hast weder den/die Vorredner genannt, noch in der Mail gekennzeichnet, welcher Text von wem kommt. So kann man eine Diskussion einfach nicht verfolgen. Danke! Heiner -- Heiner Lamprecht Philosophenweg 79 D - 72076 Tuebingen Fon: +49-7071-600 162 Fax: +49-7071-600 164 heiner@kflog.de GnuPG - Key: E05AEAFC Fingerprint: 257A DFBF 4977 4585 77A0 3509 973B 92AA E05A EAFC
Tut mir leid, hier kann ich wirklich nicht mehr erkennen, wer was geschrieben hat, darum lösche ich mal alles. * Guido Schiffer schrieb am 16.Sep.2001: Für eine Gefahr halte ich am ehesten Trojaner. Plumpe Trojaner, die z.B ein rm -rf / machen, fliegen natürlich sofort auf. Aber was ist wenn der Trojaner erst mal das macht wofür man ihm auch aufgespielt hat, aber nebenbei auch den Kernel verändern. Das fällt erst mal gar nicht auf, da ja der Kernel schon geladen ist. Erst beim nächsten Hochfahren wird der veränderte Kernel geladen. Wenn es geschickt genung gemacht wurde, dann fällt es aber immer noch nicht gleich auf. Erst dann gibt es subtile Veränderungen und wenn es auffällt weiß keiner mehr woran es gelegen hat. Und Trojaner können überall drin stecken. Bernd -- Alle meine Signaturen sind rein zufällig und haben nichts mit dem Text oder dem Schreiber zu tun, dem ich antworte. Falls irgendwelche Unrichtigkeiten dabei sein sollten, so bedauere ich das. Es wäre nett, wenn Du mich benachrichtigen würdest. |Zufallssignatur 0
Bernd Brodesser wrote:
Für eine Gefahr halte ich am ehesten Trojaner.
Da magst Du Recht haben....
Plumpe Trojaner, die z.B ein rm -rf / machen, fliegen natürlich sofort auf. Aber was ist wenn der Trojaner erst mal das macht wofür man ihm auch aufgespielt hat, aber nebenbei auch den Kernel verändern. Das fällt erst mal gar nicht auf, da ja der Kernel schon geladen ist. Erst beim nächsten Hochfahren wird der veränderte Kernel geladen.
Dazu 'ne Frage: Das wuerde ja doch sicherlich auch nur als Root funktionieren, oder? Ich meine, kein einfacher User kann doch im laufenden System einfach so Module laden oder entladen. Auch kein normaler User kann ins Verzeichnis /boot schreiben, oder die lilo.conf veraendern. Wie stellst Du Dir das technisch vor?
Wenn es geschickt genung gemacht wurde, dann fällt es aber immer noch nicht gleich auf. Erst dann gibt es subtile Veränderungen und wenn es auffällt weiß keiner mehr woran es gelegen hat.
Genau, das ist das heimtueckische an der Geschichte. Gruesse, Thomson -- Thomas Hertweck, Geophysicist Geophysical Institute, Karlsruhe University (TH) Hertzstr. 16, D-76187 Karlsruhe, Germany
* Thomas Hertweck schrieb am 17.Sep.2001:
Bernd Brodesser wrote:
Für eine Gefahr halte ich am ehesten Trojaner.
Da magst Du Recht haben....
Plumpe Trojaner, die z.B ein rm -rf / machen, fliegen natürlich sofort auf. Aber was ist wenn der Trojaner erst mal das macht wofür man ihm auch aufgespielt hat, aber nebenbei auch den Kernel verändern. Das fällt erst mal gar nicht auf, da ja der Kernel schon geladen ist. Erst beim nächsten Hochfahren wird der veränderte Kernel geladen.
Dazu 'ne Frage: Das wuerde ja doch sicherlich auch nur als Root funktionieren, oder? Ich meine, kein einfacher User kann doch im laufenden System einfach so Module laden oder entladen. Auch kein normaler User kann ins Verzeichnis /boot schreiben, oder die lilo.conf veraendern. Wie stellst Du Dir das technisch vor?
Natürlich funktioniert das nur als root. Wenn ich make install sage, dann muß ich aber root sein, zumindest, wenn es systemweit gelten soll. Und da könnte man doch auch so ganz nebenbei den Kernel abändern. Es könnte ja ein Programm, nicht Skript, aufgerufen werden, was irgendwelche Aufräumarbeit macht und das denn auch noch den Kernel ändert. Ok, wäre schon merkwürdig, wenn bei den Quellen plötzlich ein ausführbares Programm dabei wäre, aber fällt das wirklich auf? Und war ja auch nur eine Idee, vielleicht gibt es noch andere Möglichkeiten. Bernd
On Mon, 17 Sep 2001, Bernd Brodesser wrote:
* Thomas Hertweck schrieb am 17.Sep.2001:
Bernd Brodesser wrote:
Für eine Gefahr halte ich am ehesten Trojaner.
Da magst Du Recht haben....
Plumpe Trojaner, die z.B ein rm -rf / machen, fliegen natürlich sofort auf. [...]
Dazu 'ne Frage: Das wuerde ja doch sicherlich auch nur als Root funktionieren, oder? [...]
Natürlich funktioniert das nur als root. Wenn ich make install sage, dann muß ich aber root sein, zumindest, wenn es systemweit gelten soll. Und da könnte man doch auch so ganz nebenbei den Kernel abändern.
Und deshalb setzt man auch sehr gerne "tripwire" oder ein gleichartiges Programm ein und schaut sich dessen Ergebnisse an. Wenn nach einem Installationslauf bei mir irgendwelche Aenderungen an /usr/src/linux/ oder an /boot/ vorgenommen wurden, werde ich da ganz unruhig und hellhoerig. Die einzigen Aenderungen, die angezeigt werden duerfen, duerfen sich ausschliesslich mit dem installierten Programm beschaeftigen. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
On Mon, 2001-09-17 at 09:07, Thomas Hertweck wrote:
Bernd Brodesser wrote:
Für eine Gefahr halte ich am ehesten Trojaner. Yep.
Plumpe Trojaner, die z.B ein rm -rf / machen, fliegen natürlich sofort auf. Verkleide den rm -rf / ein wenig und verpacke ihn in ein Binary. Er wird in sehr vielen Fällen erst auffallen, wenn es im Einzelfall zu spät ist ;)
Bist Du Dir sicher, dass die neuen RPMs von "k-ganz-tolles-progi", die Du Dir neulich von ftp.woauchimmer.com gezogen hast und mittels rpm installiert hast, nicht am 31.12.01 einen rm -rf / durchführen oder nicht schon deine Online-Bankingdaten per email verschickt haben? Weisst Du auch ganz sicher, dass der experimentelle 2.4.9-bla.tar.gz Kernel, oder der Binär-Treiber für deine exotische USB-HW, den Du neulich gezogen hast, nicht mit mutwilligen Bösartigkeiten versehen ist? Bist Du Dir auch ganz sicher, dass der Site von dem Du neulich die Downloads durchgeführt hast, nicht gespooft war?
wenn der Trojaner erst mal das macht wofür man ihm auch aufgespielt hat, aber nebenbei auch den Kernel verändern. Das fällt erst mal gar nicht auf, da ja der Kernel schon geladen ist. Erst beim nächsten Hochfahren wird der veränderte Kernel geladen.
Dazu 'ne Frage: Das wuerde ja doch sicherlich auch nur als Root funktionieren, oder? Im Normalfall ja, nur ist es ja bekanntermassen eine Eigenschaft von Viren und Co. Sicherheitslücken auszunutzen.
So gab es in der Vergangenheit Bugs, z.B. in der bash und in xterm, die es jedem beliebigen User erlaubt hatten, "root" zu werden.
Ich meine, kein einfacher User kann doch im laufenden System einfach so Module laden oder entladen. Auch kein normaler User kann ins Verzeichnis /boot schreiben, oder die lilo.conf veraendern. Er kann aber auch ohne root zu sein, das System erheblich stören.
Wie stellst Du Dir das technisch vor? Siehe oben - Das Hauptrisiko ist der vertrauensselige und nachlässige SysAdmin.
Ralf
* Ralf Corsepius schrieb am 18.Sep.2001:
On Mon, 2001-09-17 at 09:07, Thomas Hertweck wrote:
Bernd Brodesser wrote:
Plumpe Trojaner, die z.B ein rm -rf / machen, fliegen natürlich sofort auf.
Verkleide den rm -rf / ein wenig und verpacke ihn in ein Binary. Er wird in sehr vielen Fällen erst auffallen, wenn es im Einzelfall zu spät ist ;)
Ja, klar, aber so ein Trojaner verbreitet sich nicht. Wenn es nicht auffällt und erst Monate später wirksam wird, dann ist er evtl. schon sehr verbreitet.
Bist Du Dir sicher, dass die neuen RPMs von "k-ganz-tolles-progi", die Du Dir neulich von ftp.woauchimmer.com gezogen hast und mittels rpm installiert hast, nicht am 31.12.01 einen rm -rf / durchführen oder nicht schon deine Online-Bankingdaten per email verschickt haben?
Nein, und letzteres wäre sicherlich weit schlimmer als ein rm.
Weisst Du auch ganz sicher, dass der experimentelle 2.4.9-bla.tar.gz Kernel, oder der Binär-Treiber für deine exotische USB-HW, den Du neulich gezogen hast, nicht mit mutwilligen Bösartigkeiten versehen ist?
Bist Du Dir auch ganz sicher, dass der Site von dem Du neulich die Downloads durchgeführt hast, nicht gespooft war?
Nein, mein Reden.
wenn der Trojaner erst mal das macht wofür man ihm auch aufgespielt hat, aber nebenbei auch den Kernel verändern. Das fällt erst mal gar nicht auf, da ja der Kernel schon geladen ist. Erst beim nächsten Hochfahren wird der veränderte Kernel geladen.
Dazu 'ne Frage: Das wuerde ja doch sicherlich auch nur als Root funktionieren, oder?
Im Normalfall ja, nur ist es ja bekanntermassen eine Eigenschaft von Viren und Co. Sicherheitslücken auszunutzen.
So ist es und es gibt Sachen, die als root gemacht werden müssen. Zum Bleistift installieren.
So gab es in der Vergangenheit Bugs, z.B. in der bash und in xterm, die es jedem beliebigen User erlaubt hatten, "root" zu werden.
Ist für ein Trojaner eigentlich gar nicht nötig. Es gibt genügend Sachen, die nur als root gemacht werden können. Bugs ausnützen hat den Nachteil, das die Bugs recht schnell behoben werden. Bernd -- Hast Du bei Problemen schon in der SuSE-Support-Datenbank (SDB) nachgesehen? Auf Deinem Rechner: http://localhost/doc/sdb/de/html/index.html | mit Apache: http://localhost/doc/sdb/de/html/key_form.html | Zufalls- Tagesaktuell bei SuSE: http://sdb.suse.de/sdb/de/html/index.html | signatur 2
Hi, On Die, 18 Sep 2001, Ralf Corsepius sent incredible lines:
On Mon, 2001-09-17 at 09:07, Thomas Hertweck wrote:
Bernd Brodesser wrote: [...]
Plumpe Trojaner, die z.B ein rm -rf / machen, fliegen natürlich sofort auf. Verkleide den rm -rf / ein wenig und verpacke ihn in ein Binary. Er wird in sehr vielen Fällen erst auffallen, wenn es im Einzelfall zu spät ist ;)
Bist Du Dir sicher, dass die neuen RPMs von "k-ganz-tolles-progi", die Du Dir neulich von ftp.woauchimmer.com gezogen hast und mittels rpm installiert hast, nicht am 31.12.01 einen rm -rf / durchführen oder nicht schon deine Online-Bankingdaten per email verschickt haben?
Weisst Du auch ganz sicher, dass der experimentelle 2.4.9-bla.tar.gz Kernel, oder der Binär-Treiber für deine exotische USB-HW, den Du neulich gezogen hast, nicht mit mutwilligen Bösartigkeiten versehen ist?
Bist Du Dir auch ganz sicher, dass der Site von dem Du neulich die Downloads durchgeführt hast, nicht gespooft war? [...]
Das hängt vom System ab, bei "kritischen Serversystemen" weiss ich das, bei Spielsystemen nicht, da ist es aber auch nicht sonderlich relevant. Denn sollte ich dort meine wichtigen Daten gespeichert haben ist mir sowieso nicht zu helfen. ... may the Tux be with you! =Thomas= -- Thomas Bendler \\:// ml@bendler-net.de Billwiese 22 (o -) http://www.bendler-net.de/ 21033 Hamburg ---ooO-(_)-Ooo--- tel.: 0 177 - 277 37 61 Germany Linux, enjoy the ride ...!
Hi Bernd,
Hallo Leute
----- Original Message -----
From: "Bernd Brodesser"
Tut mir leid, hier kann ich wirklich nicht mehr erkennen, wer was geschrieben hat, darum lösche ich mal alles.
* Guido Schiffer schrieb am 16.Sep.2001:
Für eine Gefahr halte ich am ehesten Trojaner. Plumpe Trojaner, die z.B ein rm -rf / machen, fliegen natürlich sofort auf. Aber was ist wenn der Trojaner erst mal das macht wofür man ihm auch aufgespielt hat, aber nebenbei auch den Kernel verändern. Das fällt erst mal gar nicht auf, da ja der Kernel schon geladen ist. Erst beim nächsten Hochfahren wird der veränderte Kernel geladen. Wenn es geschickt genung gemacht wurde, dann fällt es aber immer noch nicht gleich auf. Erst dann gibt es subtile Veränderungen und wenn es auffällt weiß keiner mehr woran es gelegen hat.
Und Trojaner können überall drin stecken.
Bernd
-- Alle meine Signaturen sind rein zufällig und haben nichts mit dem Text oder dem Schreiber zu tun, dem ich antworte. Falls irgendwelche Unrichtigkeiten dabei sein sollten, so bedauere ich das. Es wäre nett, wenn Du mich benachrichtigen würdest. |Zufallssignatur 0
Sorry, aber dies ist nicht von mir, aber eine Frage stellt sich mir hierbei: Angenommen ein Virus verändert den Kernel, dann muß er ja auch neukompiliert werden, was naturgemäß ordentlich trafic auf der platte verursacht. Eigentlich sollte man das doch merken, oder? Darüberhinaus würden dann die Kernelquellen und ein Kompiler benötigt und ob die immer installiert sind wage ich mal zu bezweifeln (insbesondere auf Produktivsystemen). Gruss Guido
On Mon, 17 Sep 2001, Guido Schiffer wrote:
Angenommen ein Virus verändert den Kernel, dann muß er ja auch neukompiliert werden,
Vorausgesetzt, er aendert den Sourcecode. Dann ja. Bei intimer Kenntnis der Binaries laesst sich der Kernel, der sich gerne als /boot/vmlinuz wiederfindet, aber auch direkt abaendern, was zweifelsohne weitaus diffiziler ist. So etwas haben wir aber bereits unter DOS-Zeiten gemacht, um speicherresidente Befehle aus COMMAND.COM fuer allzuneugierige Kunden stillzulegen. Das geht auch mit dem binaeren Kernel-Code.
was naturgemäß ordentlich trafic auf der platte verursacht. Eigentlich sollte man das doch merken, oder?
Vorausgesetzt, man sitzt neben dem Server. Einer unserer Server steht aber absolut abseits und ausserdem kann ja der Job auch nachts gegen 2 Uhr stattfinden, da bin ich gewoehnlich nicht hier. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
On Mon, Sep 17, 2001 at 07:44:21PM +0200, Peter Blancke wrote:
On Mon, 17 Sep 2001, Guido Schiffer wrote:
Angenommen ein Virus verändert den Kernel, dann muß er ja auch neukompiliert werden,
Vorausgesetzt, er aendert den Sourcecode. Dann ja. Bei intimer Kenntnis der Binaries laesst sich der Kernel, der sich gerne als /boot/vmlinuz wiederfindet, aber auch direkt abaendern, was zweifelsohne weitaus diffiziler ist. So etwas haben wir aber bereits unter DOS-Zeiten gemacht, um speicherresidente Befehle aus COMMAND.COM fuer allzuneugierige Kunden stillzulegen. Das geht auch mit dem binaeren Kernel-Code. Hab den Thread nicht mitgelesen und weiss jetzt nicht ob das schon eroertert wurde aber ansich reicht es doch ein Modul umzupatche und neu zu backen oder einfach ein Modul zu laden das sich als irgendwas anderes tarnt. Ansonsten bei der Gelegenheit einfach lsmod aendern.
was naturgemäß ordentlich trafic auf der platte verursacht. Eigentlich sollte man das doch merken, oder?
Vorausgesetzt, man sitzt neben dem Server. Einer unserer Server steht aber absolut abseits und ausserdem kann ja der Job auch nachts gegen 2 Uhr stattfinden, da bin ich gewoehnlich nicht hier. ansonsten ist Linux immer noch kein Microkernel d.h. es muss rebootet werden um den neuen Kernel zu laden (oder ich hab was verpasst). Und ich werde sehr sehr stutzig wenn meine Systeme ohne bei Aufforderung rebooten. Abgesehen davon kenne ich ein paar super verbastelte und verstrickte Systeme die ohne Hilfe garnicht mehr hochkommen. Da faellt sowas dann direkt auf.
Hoffe das ich jetzt nicht dreimal durchgekautes wieder angeschleppt habe. Wenn doch Flames nach /dev/null oder PM. Sven -- Sven Hoexter Earth - Germany - Leverkusen -=|=- e-mail: sven@telelev.net http://polarbear.telelev.net/cgi-bin/codered.cgi One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them
Hallo Sven, * Sven Hoexter schrieb am 17.Sep.2001:
On Mon, Sep 17, 2001 at 07:44:21PM +0200, Peter Blancke wrote:
On Mon, 17 Sep 2001, Guido Schiffer wrote:
Hab den Thread nicht mitgelesen und weiss jetzt nicht ob das schon eroertert wurde aber ansich reicht es doch ein Modul umzupatche und neu zu backen oder einfach ein Modul zu laden das sich als irgendwas anderes tarnt.
Hatte ich mir auch schon überlegt, aber habe es denn doch nicht geschrieben, weil ich es nicht komplizierter machen wollte. Es ist letztendlich auch gar nicht wichtig, ob das so ein gangbarer Weg ist, irgendeinen wird es schon geben.
Ansonsten bei der Gelegenheit einfach lsmod aendern.
Vorausgesetzt, man sitzt neben dem Server. Einer unserer Server steht aber absolut abseits und ausserdem kann ja der Job auch nachts gegen 2 Uhr stattfinden, da bin ich gewoehnlich nicht hier. ansonsten ist Linux immer noch kein Microkernel d.h. es muss rebootet werden um den neuen Kernel zu laden (oder ich hab was verpasst). Und ich werde sehr sehr stutzig wenn meine Systeme ohne bei Aufforderung rebooten.
Schon richtig. Aber meine Ausgangsmail geht davon aus, daß es gerade gefährlich ist wenn er nicht automatisch rebootet, sondern wenn sich erst mal gar nichst ändert. Wenn dann irgendwann mal rebootet wird, weiß kein Mensch mehr wodurch der Kernel verändert wurde. Das Virenprogramm kann sich so lustig verbreiten und der Schaden kommt bei manchen am nächsten Tag, bei anderen in ein paar Wochen und bei wieder anderen erst in Jahren. Das empfinde ich als viel gefährlicher, als wenn der Schaden sofort eintritt. Bernd -- ACK = ACKnowledge = Zustimmung | NAC = No ACknowledge = keine Zustimmung DAU = Dümmster Anzunehmender User | LOL = Laughing Out Loud = Lautes Lachen IIRC = If I Remember Correctly = Falls ich mich richtig erinnere OT = Off Topic = Am Thema (der Liste) vorbei |Zufallssignatur 11
On Mon, Sep 17, 2001 at 09:55:35PM +0200, Bernd Brodesser wrote:
* Sven Hoexter schrieb am 17.Sep.2001:
On Mon, Sep 17, 2001 at 07:44:21PM +0200, Peter Blancke wrote:
On Mon, 17 Sep 2001, Guido Schiffer wrote:
Morgen Bernd,
Vorausgesetzt, man sitzt neben dem Server. Einer unserer Server steht aber absolut abseits und ausserdem kann ja der Job auch nachts gegen 2 Uhr stattfinden, da bin ich gewoehnlich nicht hier. ansonsten ist Linux immer noch kein Microkernel d.h. es muss rebootet werden um den neuen Kernel zu laden (oder ich hab was verpasst). Und ich werde sehr sehr stutzig wenn meine Systeme ohne bei Aufforderung rebooten.
Schon richtig. Aber meine Ausgangsmail geht davon aus, daß es gerade gefährlich ist wenn er nicht automatisch rebootet, sondern wenn sich erst mal gar nichst ändert. Wenn dann irgendwann mal rebootet wird, weiß kein Mensch mehr wodurch der Kernel verändert wurde. Das Virenprogramm kann sich so lustig verbreiten und der Schaden kommt bei manchen am nächsten Tag, bei anderen in ein paar Wochen und bei wieder anderen erst in Jahren. Das empfinde ich als viel gefährlicher, als wenn der Schaden sofort eintritt. Das kommt dann natuerlich ganz drauf an was die Schadroutinen so vor haben. Wenn sich das ganze aufgrund eines aktuellen exploits weiter verbreiten moechte hat sowas in 1 oder 2 Jahren, hoffentlich schon nach Tagen keine chance mehr auf Weiterverbreitung. Nur dummerweise ist der Fantasie von Virenprogrammieren keine Grenze gesetzt und so wird sowas dann tatsaechlich zur einer netten kleinen Zeitbombe .
Vielleicht sollte ich doch mal den TripWire Workshop aus dem LinuxMagazin raus kramen ... Sven -- Subject: Re: woody hanging
WRT subject. $ apt-get install viagra ;-) [Karsten M. Self in debian-user]
Peter Blancke wrote:
On Mon, 17 Sep 2001, Guido Schiffer wrote:
Angenommen ein Virus verändert den Kernel, dann muß er ja auch neukompiliert werden,
Vorausgesetzt, er aendert den Sourcecode. Dann ja. Bei intimer Kenntnis der Binaries laesst sich der Kernel, der sich gerne als /boot/vmlinuz wiederfindet, aber auch direkt abaendern, was zweifelsohne weitaus diffiziler ist. So etwas haben wir aber bereits unter DOS-Zeiten gemacht, um speicherresidente Befehle aus COMMAND.COM fuer allzuneugierige Kunden stillzulegen. Das geht auch mit dem binaeren Kernel-Code.
Ausserdem lassen sich zur Laufzeit auch gewisse Dinge ueber das /proc Filesystem steuern oder aendern. In wie weit das aber kritisch ist, ist die Frage. Haengt sicherlich auch schwer vom Kenntnisstand des Angreifers ab. Wenn er aber mal root-Rechte auf dem System erlangt hat, dann ist IMHO eh meist alles zu spaet...
was naturgemäß ordentlich trafic auf der platte verursacht. Eigentlich sollte man das doch merken, oder?
Vorausgesetzt, man sitzt neben dem Server. Einer unserer Server steht aber absolut abseits und ausserdem kann ja der Job auch nachts gegen 2 Uhr stattfinden, da bin ich gewoehnlich nicht hier.
Wie? Du passt nachts um 2 Uhr nicht mehr auf Deinen Server auf? Ich dachte immer, die guten Admins gehen abends mit ihrem Server in die Heia.... :-)) Gruesse, Thomson -- Thomas Hertweck, Geophysicist Geophysical Institute, University of Karlsruhe Hertzstr. 16, D-76187 Karlsruhe, Germany
Am Montag, 17. September 2001 20:39 schrieb Thomas Hertweck:
Peter Blancke wrote:
Vorausgesetzt, man sitzt neben dem Server. Einer unserer Server steht aber absolut abseits und ausserdem kann ja der Job auch nachts gegen 2 Uhr stattfinden, da bin ich gewoehnlich nicht hier.
Wie? Du passt nachts um 2 Uhr nicht mehr auf Deinen Server auf? Ich dachte immer, die guten Admins gehen abends mit ihrem Server in die Heia.... :-))
Wie? Admins gehen _abends_ ins Bett? Die, die ich kenne, sitzen da gerade beim Frühstück ;-)) Heiner -- Heiner Lamprecht Philosophenweg 79 D - 72076 Tuebingen Fon: +49-7071-600 162 Fax: +49-7071-600 164 heiner@kflog.de GnuPG - Key: E05AEAFC Fingerprint: 257A DFBF 4977 4585 77A0 3509 973B 92AA E05A EAFC
On Mon, Sep 17, 2001 at 11:20:16PM +0200, Heiner Lamprecht wrote:
Am Montag, 17. September 2001 20:39 schrieb Thomas Hertweck:
Peter Blancke wrote:
Vorausgesetzt, man sitzt neben dem Server. Einer unserer Server steht aber absolut abseits und ausserdem kann ja der Job auch nachts gegen 2 Uhr stattfinden, da bin ich gewoehnlich nicht hier.
Wie? Du passt nachts um 2 Uhr nicht mehr auf Deinen Server auf? Ich dachte immer, die guten Admins gehen abends mit ihrem Server in die Heia.... :-))
Wie? Admins gehen _abends_ ins Bett? Die, die ich kenne, sitzen da gerade beim Frühstück ;-)) Na ja wenn Du Literweise Kaffee / Cola / Redbull etc. als Fruehstueck bezeichnest ;-)
Wobei wenn ich mir mal so lastlog und su.log auf den Kisten hier angucke, das sollte man wirklich keinem Arbeitszeitschuetzer zeigen. *g* Sven -- Subject: Re: woody hanging
WRT subject. $ apt-get install viagra ;-) [Karsten M. Self in debian-user]
Am 17-Sep-01 schrieb Peter Blancke :
On Mon, 17 Sep 2001, Guido Schiffer wrote:
Angenommen ein Virus verändert den Kernel, dann muß er ja auch neukompiliert werden,
Vorausgesetzt, er aendert den Sourcecode. Dann ja. Bei intimer Kenntnis der Binaries laesst sich der Kernel, der sich gerne als /boot/vmlinuz wiederfindet, aber auch direkt abaendern, was zweifelsohne weitaus diffiziler ist. So etwas haben wir aber bereits unter DOS-Zeiten gemacht, um speicherresidente Befehle aus COMMAND.COM fuer allzuneugierige Kunden stillzulegen. Das geht auch mit dem binaeren Kernel-Code.
was naturgemäß ordentlich trafic auf der platte verursacht. Eigentlich sollte man das doch merken, oder?
Vorausgesetzt, man sitzt neben dem Server. Einer unserer Server steht aber absolut abseits und ausserdem kann ja der Job auch nachts gegen 2 Uhr stattfinden, da bin ich gewoehnlich nicht hier.
Es gibt nur einen "kleinen" Haken An der Sache : Ein Programm das den Kernel ändern will hat viel vor sich : Es muß zb erkennen ob nun ein 2.0 , 2.1, 2.2, 2.3, 2.4 installiert ist - und zb ob es ein originaleer kernel ist oder ein gepatchter ( wer will kann mal ja folgenden "Joke" machen : kernel 2.4.4.Suse braten und dann dasselbe mit den original-sourcen von kernel.org - und dann vergleicht mal die bzimages) ;)) weil einen Nachteil hat die ganze sache : was will der Virus wohinschreiben ? weil das problem ist ja das das kernel-binary ähnlich aufgebaut ist wie command.com unter Dos-Zeiten befehl1<programmcode>befehl2<programmcode>befehl3 man konnte unter dos zwar einen befehl stillegen / umbenennen aber es war und ist nicht möglich den programmcode beliebig zu ersetzen, da man von der länge abhängig ist - also zb aus dem dir-befehl ein noch so simples spiel zu machen ist zum scheitern verurteilt - weil die länge des programmcodes einfach nicht ausreichend ist 1.dasselbe gilt unter UNIX/Linux 2. sind etwa 50-75% alles kernel-routinen bei versionssprüngen (zb 2.0->2.1) auf anderen stellen - außerdem ist die frage ob die fragliche / benötigte Routine wo sich der Virus reinschreiben will/muß fest im kernel ist oder als modul. von daher ist dieser weg recht unrentabel weil 1. nicht jeder Linuxrechner zb Kernel 2.4 hat 2. in dem virenprogramm ein Schutz vorhanden sein muß der den Virus schützt ( sonst bräuchte man ja nur den kernel neu übersetzen oder von CD neu installieren 3. müßte ja der virus nicht nur /boot/vmlinuz infizieren - gerade SuSE - User sollten ja wissen, das zb. bei 7.2 standardmäßig 2 Kernel in /boot stehen ( vmlinux und vmlinuz.suse ) - und wenn man einen eigenen Kernel bäckt nach SuSE-Handbuch sogar einen dritten ( .old ) wo man ja alternativ booten könnte und man wäre virenfrei wobei zb bei mir boot/vmlinuz gar ned als standard-kernel gebootet wird Also müßte so ein virus auch die lilo-konfig lesen und auswerten können so nun mal gesetzt den fall jemand vesucht das alles ! unter einen Hut zu bekommen : 1. Wäre der VirusCode , nur um sein eigenes Dasein behaupten zu können zu groß um unauffällig sein zu können. ( ich persönlich gehe von ca. min. 8 MB reinen Code aus um alle 2.x Kernels abdecken zu können ) 2. da sich der Virus auf den Kernel spezialisiert hat recht steril ( weil ich glaube kaum das jemand den vmlinux an andere weitergibt bzw bei mehreren PC's diesen auf den/die anderen überspielt - es ist vor allem in einem lan effektiver den kernel zu optimieren ( wozu brauch ich zb auf meinem Drucker-Server ( 486 ) Soundkartenunterstüzung usb, tvkarte usw) - Da läuft, nur so nebenbei ein 2.0 Fazit : Ein Kernel-Virus könnte im Idealfall (das Programm wo der Urvirus eingebaut ist braucht jeder ( ! )) vielleicht etwa 30% aller systeme erreichen / infizieren bevor er erkannt ist. nur wäre ein solches Tarnprogramm ( da es ja möglicht jeden Liunx - User ansprechen soll und den Virus beinhalten muß ) mit ziemlicher sicherheit etwas sehr groß ( verschiedene Virusversionen, angepasst auf die unterschiedlichen Kernel, Tarnprogramm ) - damit dabei der Anteil des Virus nicht auffällt, müßte allein das Tarnprogramm >10MB sein ( als bereits lauffähiges Programm - RPM) - weil als source ...... Es mag zwar eine Virengefahr herrschen - nur ob sich jemand diese mühe macht ... man sollte eines nicht vergessen aufgrund der unterschiedlichen strukturen - ein Virus der zb auf SuSE - Systeme optimiert ist hat unter Debian zb kaum überlebenchancen - und umgekehrt Windows bleibt Windows - Linux ist nicht gleich Linux ( ich hab noch nie vonnem Virus gehört der nur auf W95 laufen kann ) -- He looked at me as if I was a side dish he hadn't ordered. ---------------------------------- Registierter Linux - User #177159 ICQ - UIN : 51735624 HP : http://members.tripod.de/LinuxCobra/
Hallo Marco, * Marco_Jaeger@gmx.de schrieb am 19.Sep.2001:
Es gibt nur einen "kleinen" Haken An der Sache :
Ein Programm das den Kernel ändern will hat viel vor sich :
Es muß zb erkennen ob nun ein 2.0 , 2.1, 2.2, 2.3, 2.4 installiert ist - und zb ob es ein originaleer kernel ist oder ein gepatchter ( wer will kann mal ja folgenden "Joke" machen : kernel 2.4.4.Suse braten und dann dasselbe mit den original-sourcen von kernel.org - und dann vergleicht mal die bzimages) ;)) weil einen Nachteil hat die ganze sache : was will der Virus wohinschreiben ?
Nein, das Programm hat nicht viel vor sich, denn ein Virus muß ja nicht überall funktionieren. Bernd
On Wed, 19 Sep 2001 Marco_Jaeger@gmx.de wrote:
Am 17-Sep-01 schrieb Peter Blancke :
On Mon, 17 Sep 2001, Guido Schiffer wrote:
Angenommen ein Virus verändert den Kernel, dann muß er ja auch neukompiliert werden,
Es gibt nur einen "kleinen" Haken An der Sache :
Ein Programm das den Kernel ändern will hat viel vor sich :
[es folgen sehr interessante Ausfuehrungen ueber die Moeglichkeiten, einen Kernel zu "hacken"]
Es mag zwar eine Virengefahr herrschen - nur ob sich jemand diese mühe macht ...
Hallo Marco, in meiner 18jaehrigen Zeit als Selbstaendiger, der sich _immer_ mit Systemadministration beschaeftigt hat, habe ich vor allem eines gelernt: Unterschaetze niemanden, der sich mit EDV beschaeftigt. Hier im Lande gibt es den Spruch: "Ich sah schon Pferde vor der Apotheke kotzen!" Seit diesen Erkenntnissen habe ich es vorgezogen, mich intensiv mit "ipchains" und "iptables" zu beschaeftigen. Deine Ideen sind wirklich lesenswert! *ehrlich* Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Hallo, Am Mittwoch, 19. September 2001 10:07 schrieb Marco_Jaeger@gmx.de:
Es mag zwar eine Virengefahr herrschen - nur ob sich jemand diese mühe macht ... man sollte eines nicht vergessen aufgrund der unterschiedlichen strukturen - ein Virus der zb auf SuSE - Systeme optimiert ist hat unter Debian zb kaum überlebenchancen - und umgekehrt
Was alles möglich zeigt der nimda-Wurm, knapp 80 kByte, inkl. eigenen SMTP, und so tricky wie noch keiner vor ihm.
Windows bleibt Windows - Linux ist nicht gleich Linux
Linux wird vorallem deswegen selten zum Angriffsziel, weil es im Vergleich zu Windows-Clienten zu selten ist. Sicherheitslöcher für potentielle Viren und Würmer gibt es auch unter Linux-Software. Falk
* Guido Schiffer schrieb am 17.Sep.2001:
From: "Bernd Brodesser"
Sorry, aber dies ist nicht von mir, aber eine Frage stellt sich mir
Nein, von mir, was aus meinem Quoting auch eindeutig hervorging, da ich nichts gequotet hatte.
hierbei: Angenommen ein Virus verändert den Kernel, dann muß er ja auch neukompiliert werden, was naturgemäß ordentlich trafic auf der
Ich dachte schon daran, daß im übersetzten Kernel geändert wird.
platte verursacht. Eigentlich sollte man das doch merken, oder?
Nicht unbedingt, was meinst Du was auf einem Server los ist, an dem sagen wir mal 30 User hängen?
Darüberhinaus würden dann die Kernelquellen und ein Kompiler benötigt und ob die immer installiert sind wage ich mal zu bezweifeln (insbesondere auf Produktivsystemen).
Wie gesagt ich gehe nicht davon aus, daß die Quellen verändert werden. Bernd -- ROTFL = Rolling On The Floor, Laughing = Auf dem Boden wälzen, lachend. SCNR = Sorry, Could Not Resist = Sorry, Ich konte nicht wiederstehen. AFAIK = As Far As I Know = So weit ich weis|BTW = By The Way = Nebenbei bemerkt IMHO = In My Humble Opinion = meiner bescheidenen Meinung nach |Zufallssig. 9
Andre Best wrote:
Sorry, wenn da nochmal nachhaken möchte, aber grundsätzlich konnte doch nicht geklärt werden, wie es mit Viren unter Linux aussieht.
Sie sind möglich.
Von Trojanern mal abgesehen, dürfte Linux (wie OS2 auch) gegen Viren weitestgehend resistend sein.
Mehr als Windows 9x, aber "weitestgehend" ist übertrieben. Gerade die derzeit sehr beliebten E-Mail-Viren sind zur Weiterverbreitung nicht auf root-Rechte angewiesen. Es genügt, wenn ein normaler Benutzer das Schadprogramm startet. Es ist allerdings nicht ganz so einfach, eine große Verbreitung eines Virus zu erreichen. Zum einen sind Linux-Systeme (am Arbeitsplatz) deutlich weniger verbreitet, als Windows. Dann dürfte der Anteil der Leute, die etwas über die Funktionsweise ihres Systems wissen und auch ein Sicherheitsbewußtsein haben, unter Linux-Benutzern höher (wenn auch sinkend) sein. E-Mail-Viren für Windows können darauf bauen, daß ein sehr großer Anteil aller Opfer einen bestimmten MUA benutzt, und haben es damit in den meisten Fällen leicht, das Adressbuch zu finden. (In den restlichen Fällen klappts dann eben nicht, aber das fällt nicht so ins Gewicht.) Eine solche Polarisierung auf einen einzelnen MUA gibt es unter Linux-Benutzern (noch) nicht, auch wenn es natürlich einige besonders häufig genutzte gibt. Für eine gute Wirkung muß der Virenautor also mehrere mögliche Adressquellen berücksichtigen -- aber das ist nur etwas mehr Aufwand, keine Schwierigkeit. Und der Trick, Adressen aus Web-Seiten im Cache von Netscape zu extrahieren, dürfte auch bei den meisten Linux-Benutzern klappen. Kurz: Derzeit ist Linux kein so attraktives Ziel, wie Windows. Aber die Verwendung von Linux schützt nicht automatisch vor Viren. Ach ja, es wurde auch schon gezeigt, daß es möglich ist, Viren zu schreiben, die unter mehreren Betriebssystemen (z.B. sowohl Windows als auch Linux) funktionieren.
Werden die Leserechte den Dateien entsprechend "richtig" gesetzt, haben auch Trojaner kaum ein Chance,
Wenn ich Dateien habe, deren Inhalt niemanden außer mir was angeht, dann gebe ich niemandem außer mir Leserecht daran. Trotzdem könnte ein trojanisches Pferd, daß ich mir "eingefangen" habe, darauf zugreifen und den Inhalt an Dritte übermitteln, obwohl ich die Leserechte richtig gesetzt habe.
Natürlich fliessen Benutzerfehler (als root surfen,...) hier mit ein,
Klar, aber so schwere Fehler sind eben mitunter gar nicht nötig. Eine wesentlich kleinere Nachlässigkeit könnte prinzipiell schon reichen.
aber der eigentliche Virus, so wie wir ihn von WinDOS kennen, hat doch gar keine Chance in diesen Systemen.
Es stehen zwar nicht genau die gleichen Möglichkeiten zur Verfügung und es gibt mehr Hindernisse, aber von einem vollständigen Schutz vor Viren u.ä. ist das immer weit entfernt.
[...] Deshalb halte ich Viren für diese (OS2,Linux,NT) für relativ schwierig zu programmieren, man kann nicht einfach "einsteigen", ohne das OS zu umgehen!
Ja, ein Virus, der *direkt* in das Betriebssystem eingreift, ist deutlich schwieriger zu Programmieren bzw. sollte sogar theoretisch unmöglich sein. (Mal vorausgesetzt, der Admin verhält sich nicht fahrlässig, alle Sicherheitslücken werden sofort behoben etc.) Aber wie gesagt, dieser Schritt ist für viele Schadfunktionen und auch für die Weiterverbreitung gar nicht nötig.
Wer hatte von Euch schon Kontakt mit Linux-Viren?
Ich noch nicht :) Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
Am Sonntag, 16. September 2001 12:37 schrieb Bernd Brodesser:
ACK, aber sollte man nicht noch etwas vorsichtiger sein? Wenn ich als User rm -rf / eingebe ist fast alles wichtige weg. Die ganzen anderen Dateien, Programmen usw. die nicht weg sind, kann ich bis auf ein paar Konfigurationen auch von der SuSE-CD habe. Um es klar zu sagen: Nicht als root zu arbeiten schützt mich im Ernstfall davor, nach dem Crash sendmail neu konfigurieren zu müssen, sonst aber nichts. Alle meine schönen selbstgeschriebene Programme, Dateien und auch alle meine Mails sind weg wenn ich ein übles Programm als User ausführe.
Es sollte eigentlich nichts weg sein, was nicht aus dem letzten Backup wieder herstellbar ist (Backup ist wichtig!). Aber es stimmt natürlich, dass der Verlust des eigenen /home/$USER sowie von Arbeitsverzeich- nissen, auf die man Zugriff hat gerade die wichtigen Dateien trifft, nicht wichtig fürs System, aber für die Arbeit.
Daher die Frage: Ist es nicht besser, wenn man mit meheren User arbeitet? Also neben root und seinen normalen User noch mindestens ein Administrator? Vielleicht auch ein eigener User nur fürs Internet?
Einen User zum Ausprobieren von Programmen, nicht fürs Internet, sonst sind z.B. die Mails wieder gefährdet, immerhin ist E-Mail die beliebteste Verbreitungsart von Viren. Ein User mit Schreibzugriff nur aufs eigene home-Verzeichnis (in dem selbstverständlich nichts von bedeutung liegen darf), ist in jedem Fall eine gute Vorsichtsmaßnahme. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de
Hallo Bernd, hallo sonstige Interessierte :-) Bernd Brodesser wrote:
* Thomas Hertweck schrieb am 16.Sep.2001:
Mit Beachtung einiger simpler Regeln ist es so moeglich, die Ge- fahr durch Viren (oder Skripte, Programme, die Schaden anrichten wollen) sehr einzuschraenken. Wenn ich als normaler User ein "rm -rf /" eingebe, dann passiert halt im Prinzip nicht so viel, wenn ich es als Root eingebe, dann ist das System weg. Essentieller Schaden am System gibt es also meist nur, wenn Programme unter Root laufen. Das Einspielen von Sichereheitspatches bei Programmen dient u.a. dazu, dass kein normaler User (oder auch ein Programm) einen Bug ausnutzt, um Root Rechte zu erhalten. So gesehen ist also die Gefahr von Viren unter Linux bedeutend kleiner, wobei sie natuerlich durchaus noch besteht.
ACK, aber sollte man nicht noch etwas vorsichtiger sein? Wenn ich als User rm -rf / eingebe ist fast alles wichtige weg. Die ganzen anderen Dateien, Programmen usw. die nicht weg sind, kann ich bis auf ein paar Konfigurationen auch von der SuSE-CD habe. Um es klar zu sagen: Nicht als root zu arbeiten schützt mich im Ernstfall davor, nach dem Crash sendmail neu konfigurieren zu müssen, sonst aber nichts. Alle meine schönen selbstgeschriebene Programme, Dateien und auch alle meine Mails sind weg wenn ich ein übles Programm als User ausführe.
Hmm, ok, mein Beispiel war vielleicht etwas ungluecklich gewaehlt (wobei manche glaube ich durchaus froh sind, wenn sie sendmail nicht nochmal konfigurieren muessen :-). Was ich letztendlich sagen wollte ist, dass durch simple Regeln die Gefahr von Viren oder Programmen, die was boeses anrichten wollen, eingeschraenkt werden kann - 100% Schutz wird es auch hier nicht geben, aber man muss eben ein Kompromiss finden zwischen Sicherheit und Aufwand, der getrieben werden muss. Das ganze sollte natuerlich auch immer noch von einem Backup begleitet werden, versteht sich. Damit kann ich notfalls mir wichtige Sachen wieder zurueckspielen, wenn diese be- schaedigt wurden oder verloren gegangen sind Mit gewisser Vorsicht und Umsicht kann man momentan jedenfalls (so denke ich) 99% der (potentiellen) Probleme umschiffen. Wie das in Zukunft aussieht, wenn Linux populaerer wird, ist na- tuerlich eine andere Sache - ich denke, da werden auch ver- mehrt Schaedlinge fuer Linux-Systeme auftauchen. Und die Ge- fahr, die entsteht, sollte man nicht unterschaetzen, solange eben viele Anwender (oder Einsteiger, Windows-Umsteiger, etc.) sich der Gefahr nicht richtig bewusst sind oder das Konfigu- rieren ihrer Maschinen vernachlaessigen.
Daher die Frage: Ist es nicht besser, wenn man mit meheren User arbeitet? Also neben root und seinen normalen User noch mindestens ein Administrator? Vielleicht auch ein eigener User nur fürs Internet?
Nun, es gibt sicherlich Methoden, wie man noch besser mit potentiellen Gefahren umgehen kann, da hast Du Recht. Die Frage ist IMHO aber, wie viel Aufwand will man treiben. Ich denke, man sollte einen Kompromiss finden zwischen Sicher- heit und Aufwand. Gruesse, Thomson -- Thomas Hertweck, Geophysicist Geophysical Institute, University of Karlsruhe Hertzstr. 16, D-76187 Karlsruhe, Germany
On 16-Sep-2001 Thomas Hertweck wrote:
wollen) sehr einzuschraenken. Wenn ich als normaler User ein "rm -rf /" eingebe, dann passiert halt im Prinzip nicht so viel, wenn ich es als Root eingebe, dann ist das System weg. Essentieller
Nur was ist in der Praxis unangenehmer? Ein System laesst sich wieder
aufspielen, die Arbeitsergebnisse unter /home/xxx sind weg :-(
Gegen Letzteres hilft natuerlich ein Backup, was aber bestimmt alles
User in dieser Liste regelmaessig anfertigen :-)
Gruss,
Heinz.
--
E-Mail: Heinz W. Pahlke
"Heinz W. Pahlke" wrote:
On 16-Sep-2001 Thomas Hertweck wrote:
wollen) sehr einzuschraenken. Wenn ich als normaler User ein "rm -rf /" eingebe, dann passiert halt im Prinzip nicht so viel, wenn ich es als Root eingebe, dann ist das System weg. Essentieller
Nur was ist in der Praxis unangenehmer? Ein System laesst sich wieder aufspielen, die Arbeitsergebnisse unter /home/xxx sind weg :-(
Gegen Letzteres hilft natuerlich ein Backup, was aber bestimmt alles User in dieser Liste regelmaessig anfertigen :-)
Also, auf Produktionssystemen sollte das mit Sicherheit Pflicht sein. Was Heimanwender angeht: Ich denke, mit der zunehmenden Verbreitung von CD-RW-Brennern etc. sollte auch dort ab und zu ein Backup gemacht werden koennen. Ok, ich wuerde mir als Heimanwender wahrscheinlich kein SCSI Tape-Laufwerk fuer etliche Tausend Mark anschaffen, aber es geht ja auch mit einfachereren Mitteln. CU, Thomson -- Thomas Hertweck, Geophysicist Geophysical Institute, University of Karlsruhe Hertzstr. 16, D-76187 Karlsruhe, Germany
participants (16)
-
Andre Best -
B.Brodesser@t-online.de -
Eilert Brinkmann -
Falk Gebauer -
Falk Sauer -
Guido Schiffer -
Heiner Lamprecht -
Heinz W. Pahlke -
Manfred Tremmel -
Marco_Jaeger@gmx.de -
Peter Blancke -
Ralf Corsepius -
Steffen Moser -
Sven Hoexter -
Thomas Bendler -
Thomas Hertweck