http://www.heise.de/newsticker/meldung/46634 "Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig." Welche Vorkehrungen sollte man treffen, dass ein Linux-Anfänger als User nichts falsches macht? Al
Al Bogner
Welche Vorkehrungen sollte man treffen, dass ein Linux-Anfänger als User nichts falsches macht?
Keine. Du schützt Dich genauso wie unter Windows. Indem Du das Ding einfach nicht installierst und dem Internet keine Dienste anbietest, die verwundbare Sicherheitslücken enthalten. Martin
Hi Al, On Tue, Apr 20, 2004 at 01:48:58PM +0200, Al Bogner wrote:
http://www.heise.de/newsticker/meldung/46634 "Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware v?llig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverl?ssig. Zudem l?uft der Sch?dling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsf?hig."
Welche Vorkehrungen sollte man treffen, dass ein Linux-Anf?nger als User nichts falsches macht?
Bisher l�sst sich phatbot nur unter linux compilieren. Das ist aber auch schon alles. Er enth�lt (noch) keine Routinen, um Linux Systeme "Anzugreifen". Schutz ist immer der selbe. Updates, Patches, keine SUID root Programme, keine unn�tigen Dienste, keine unsicheren Dienste, Signaturen pr�fen, Tripwire und Co, grsecurity, SELinux verwenden etc. etc. Ist immer eine Frage wie paranoid du bist oder wie wichtig Dir das System ist. Wenn der User unerfahren ist, einfach alle Rechte nehmen :) Ohne Internet (fast) kein Problem :) D.h. die SuSE Politik mit 755 gleich mal vergessen *g* (harden-suse IIRC) Greetings Daniel -- nur weil ihr paranoid seid heisst das noch lange nicht, dass sie nicht hinter euch her sind ;)
Al Bogner schrieb:
http://www.heise.de/newsticker/meldung/46634 "Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig."
Welche Vorkehrungen sollte man treffen, dass ein Linux-Anfänger als User nichts falsches macht?
Nun, da hast Du schon mal ein wichtiges Element entdeckt - man arbeitet als User, nicht als root. Zwar hilft das nichts, wenn der Schädling einen lokalen root-Exploit benutzt (z.B. die kürzlich bekannt gewordenen Kernelfehler rund um den mmap-Call oder den ISO9660-Bug), aber ein derartiger Schädling ist mir (noch) nicht bekannt. Dagegen hilft nur ein regelmäßiges Lesen der Sicherheitshinweise und Patchen (z.B. mit YOU). Aber um zur zitierten Meldung zurück zu kehren. Die Aussage, daß der Schädling POSIX-kompatibel ist und damit auch Linux befallen könnte, ist etwas verwirrend. AFAIK bedeutet POSIX-Kompatibilität zunächst einmal, daß der QUELLCODE nur bestimmte Systemaufrufe benutzen darf und somit keine plattformspezifischen Features verwenden kann. Damit fallen aber alle typischen (und immer wieder erfolgreichen) Windows-Exploits unter den Tisch, ebenso wie der bereits genannte do_mmap-Bug unter Linux. Einen POSIX-Virus/Wurm kenne ich ebefalls noch nicht. Schadprogramme für Unix/Linux gibt es bereits genug, jedoch zielen die mehr auf Server, nicht auf den Client. Aber das kann ja noch kommen... Gruß hebi -- Dirk Hebenstreit Tel : +49-170-2461522 Eschenweg 3 +49-33200-85997 14558 Bergholz-Rehbruecke Dirk.Hebenstreit@epost.de PingoS - LINUX-User helfen Schulen: http://www.pingos.org
Am Dienstag, 20. April 2004 21:00 schrieb Dirk Hebenstreit:
Al Bogner schrieb:
http://www.heise.de/newsticker/meldung/46634 "Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig."
Welche Vorkehrungen sollte man treffen, dass ein Linux-Anfänger als User nichts falsches macht?
Nun, da hast Du schon mal ein wichtiges Element entdeckt - man arbeitet als User, nicht als root.
Das ist klar und es steht nicht zur Diskussion, ob als root "normal" gearbeitet werden soll. Ich denke mir aber trotzdem, dass es nicht sehr beruhigt, wenn "nur" die User-Daten gefährdet sind. Im Zweifelsfall setze ich lieber das System neu auf, als rauszufinden ab wann die Daten kompromittiert sind.
(noch) nicht bekannt. Dagegen hilft nur ein regelmäßiges Lesen der Sicherheitshinweise und Patchen (z.B. mit YOU).
Da ich nirgends Kommentare dazu find, was dieser Agobot nun unter Linux anstellen kann, habe ich hier gepostet.
Aber um zur zitierten Meldung zurück zu kehren. Die Aussage, daß der Schädling POSIX-kompatibel ist und damit auch Linux befallen könnte, ist etwas verwirrend.
ACK.
AFAIK bedeutet POSIX-Kompatibilität zunächst einmal, daß der QUELLCODE nur bestimmte Systemaufrufe benutzen darf und somit keine plattformspezifischen Features verwenden kann. Damit fallen aber alle typischen (und immer wieder erfolgreichen) Windows-Exploits unter den Tisch, ebenso wie der bereits genannte do_mmap-Bug unter Linux. Einen POSIX-Virus/Wurm kenne ich ebefalls noch nicht.
Wenn es so etwas irgendwann doch gibt, dann will ich darauf vorbereitet sein. Von den Sicherheitsvorkehrungen dürfte hier alles ok sein. Seit ein paar Tagen gibt es auch einen 2.4.26-grsec, dem auch http://www.heise.de/newsticker/meldung/46692 nichts anhaben kann. Inwieweit dieser Agobot per E-Mail gefährlich werden kann, habe ich noch nicht herausgefunden. Einen Vorteil hat das Thema nun doch gebracht, ab 9.1 lese ich mich intensiver in IDS ein. Al PS: Was war mit der ML los?
Al Bogner wrote:
http://www.heise.de/newsticker/meldung/46634 "Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig."
Welche Vorkehrungen sollte man treffen, dass ein Linux-Anfänger als User nichts falsches macht?
Ihm klarmachen, daß er als user und nicht als root an seiner kiste arbeiten soll. Hubert
participants (5)
-
Al Bogner
-
Daniel Lord
-
Dirk Hebenstreit
-
Hubert Moesslein
-
Martin Schmitz