Am Dienstag, 20. April 2004 21:00 schrieb Dirk Hebenstreit:
Al Bogner schrieb:
http://www.heise.de/newsticker/meldung/46634 "Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig."
Welche Vorkehrungen sollte man treffen, dass ein Linux-Anfänger als User nichts falsches macht?
Nun, da hast Du schon mal ein wichtiges Element entdeckt - man arbeitet als User, nicht als root.
Das ist klar und es steht nicht zur Diskussion, ob als root "normal" gearbeitet werden soll. Ich denke mir aber trotzdem, dass es nicht sehr beruhigt, wenn "nur" die User-Daten gefährdet sind. Im Zweifelsfall setze ich lieber das System neu auf, als rauszufinden ab wann die Daten kompromittiert sind.
(noch) nicht bekannt. Dagegen hilft nur ein regelmäßiges Lesen der Sicherheitshinweise und Patchen (z.B. mit YOU).
Da ich nirgends Kommentare dazu find, was dieser Agobot nun unter Linux anstellen kann, habe ich hier gepostet.
Aber um zur zitierten Meldung zurück zu kehren. Die Aussage, daß der Schädling POSIX-kompatibel ist und damit auch Linux befallen könnte, ist etwas verwirrend.
ACK.
AFAIK bedeutet POSIX-Kompatibilität zunächst einmal, daß der QUELLCODE nur bestimmte Systemaufrufe benutzen darf und somit keine plattformspezifischen Features verwenden kann. Damit fallen aber alle typischen (und immer wieder erfolgreichen) Windows-Exploits unter den Tisch, ebenso wie der bereits genannte do_mmap-Bug unter Linux. Einen POSIX-Virus/Wurm kenne ich ebefalls noch nicht.
Wenn es so etwas irgendwann doch gibt, dann will ich darauf vorbereitet sein. Von den Sicherheitsvorkehrungen dürfte hier alles ok sein. Seit ein paar Tagen gibt es auch einen 2.4.26-grsec, dem auch http://www.heise.de/newsticker/meldung/46692 nichts anhaben kann. Inwieweit dieser Agobot per E-Mail gefährlich werden kann, habe ich noch nicht herausgefunden. Einen Vorteil hat das Thema nun doch gebracht, ab 9.1 lese ich mich intensiver in IDS ein. Al PS: Was war mit der ML los?