Klar, hack unter Linux gibs nicht - täum weiter-
woran kann ich unter Linux erkennen, ob ich schadesoftware installiert habe?
Der Taskmanger ist (meiner Meinung nach) ziemlich nichts aussagend. Doch woran erkenn man, ob man ein versuechtes Linux hat?
Danke
Maybe 
torsten40 „Woran erkennt man, dass man 0wn3d ist“
Moin,
welche Distri ist das genau?
Wenn es eine Debian-basierte-Distri ist, gib mal in der Konsole "top" oder "htop" ein, das ist schon aussagekräftiger.
Natürlich ist Linux nicht unangreifbar. Die Angriffe finden aber wohl eher selten auf Anwendungsebene statt, sonder eher auf Systemebene. Und wenn man die Anwendungen über die Softwareverwaltung, apt-get, dem Paketmanager oder Synaptic installiert, ist man da auf der "sicheren Seite".
In Kmail kann man z.B. den ClamAV einbinden, um Emails zu checken (nach Windows-Malware).
sudo apt-get install clamav
Jemand der die Fähigkeiten und die Kenntnisse hat, in eine Linux-System einzudringen, den werden wir auch nicht so einfach aufspüren können.
Du könntest einen Netzwerkmonitor wie z.B. Wireshark installieren, um den Netzwerkverkehr zu analysieren. Das setzt aber nicht wenige Kenntnisse in der Netzwerktechnik voraus, um die Daten interpretieren zu können.
Unter Debian/Ubuntu
sudo apt-get install wireshark
Gruß
Maybe
torsten40 Maybe „Moin, welche Distri ist das genau? Wenn es eine ...“
"top" oder "htop"
ich schaue mir die Prozesse, wenn ich den alle sehen will unter "ps aux" an.
Du könntest einen Netzwerkmonitor wie z.B. Wireshark installieren, um den Netzwerkverkehr zu analysieren. Das setzt aber nicht wenige Kenntnisse in der Netzwerktechnik voraus, um die Daten interpretieren zu können.
Das natürlich eine gute Idee. Vielleicht war ich gestern etwas zu mißtrauisch :)
Borlander Maybe „Moin, welche Distri ist das genau? Wenn es eine ...“
Wenn es eine Debian-basierte-Distri ist, gib mal in der Konsole "top" oder "htop" ein, das ist schon aussagekräftiger.
In der Praxis musst Du davon ausgehen, dass diese Tools durch manipulierte Versionen ersetzt wurden die Schadprozesse nicht mit anzeigen. D.h.: Auf Basis der Standardtools wirst Du eher nichts verdächtiges zu sehen bekommen…
Gruß
bor
neanderix Maybe „Moin, welche Distri ist das genau? Wenn es eine ...“
Von ClamAV rte ich ab - der produziert einfach zu viele False Positives
Maybe neanderix „Von ClamAV rte ich ab - der produziert einfach zu viele ...“
Von ClamAV rte ich ab - der produziert einfach zu viele False Positives
Und was wäre eine kostenlose Alternative? Ich nutze Clam nur zum Eingangcheck der Emails in Kmail.
Gruß
Maybe
Acader torsten40 „Woran erkennt man, dass man 0wn3d ist“
Woran erkennt man, dass man 0wn3d ist
Diese Frage stellt sich doch unter Linux gar nicht.
woran kann ich unter Linux erkennen, ob ich schadesoftware installiert habe?
Dann erkläre uns erst einmal wie du unter Linux überhaupt Schadsoftware installieren willst. Die aus den Distri-Paketquellen ist geprüfte Software und wird zusätzlich verwaltet von Paketbetreuern. Fremdsoftware hingegen installiert man nur von vertrauten Quellen.
Wie soll dann Schadsoftware in das System gelangen?
Auf deine Antwort bin nicht nur ich gespannt.
MfG Acader
torsten40 Acader „Diese Frage stellt sich doch unter Linux gar nicht. Dann ...“
Mein Verdacht kommt nicht ungefähr. Ich glaube zwar nicht, dass mein System verseucht ist, doch irgendwas stimmt schon wieder nicht.
Ich habe die Packetquellen in ruhe gelassen, weder was hinzu gefügt, noch etwas entfernt. Auch habe ich apt update && upgrade gemacht.
Aber wenn ich z.B etwas über Synaptic installieren will, dann heisst in einigen Fällen, die Datei konnte nicht gefunden werden. Nach einiger Suche auf den Debianservern, war die Datei tatsächlich nicht mehr da, sondern schon durch eine neuere ersetzt wurden.
In letzter Zeit passiert das halt immer häufiger, und es kann ja sein, dass dann mit dem System etwas nicht stimmt.
Danke
Borlander torsten40 „Mein Verdacht kommt nicht ungefähr. Ich glaube zwar nicht, ...“
Aber wenn ich z.B etwas über Synaptic installieren will, dann heisst in einigen Fällen, die Datei konnte nicht gefunden werden. Nach einiger Suche auf den Debianservern, war die Datei tatsächlich nicht mehr da, sondern schon durch eine neuere ersetzt wurden.
Dann würde ich aber erst mal auf eine Kaputte Paketkonfiguration tippen. Hast Du zwischenzeitlich mal bestimmte Versionen eines Paketes erzwungen, oder z.B. Pakete aus neueren Debian-Versionen installiert? Das kann zu unschönen Nebeneffekten in der Paketverwaltung führen.
Auf Desktop-Systemen die nicht direkt (direkt = ohne NAT-Routing, oder ggf. über Portweiterleitungen) über das Internet angebunden sind ist das Risiko von Schadsoftware im System zumindest deutlich geringer als bei Servern die dauerhaft von außen im Internet erreichbar sind.
torsten40 Borlander „Dann würde ich aber erst mal auf eine Kaputte ...“
r z.B. Pakete aus neueren Debian-Versionen installiert? Das kann zu unschönen Nebeneffekten in der Paketverwaltung führen.
Eigendlich nicht, ausser Steam, was ich manuell installiert habe.
Ich habe Debian Jessi/sid
uname -a:
3.14-2-amd64 #1 SMP Debian 3.14.15-2 (2014-08-09) x86_64 GNU/Linux
cat /proc/version:
3.14-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.3 (Debian 4.8.3-7) ) #1 SMP Debian 3.14.15-2 (2014-08-09)
cat /etc/issue:
Debian GNU/Linux jessie/sid \n \l
---
Ich lasse jetztmal aptitude upgrade laufen, da das letzte Upgrade doch schon einige Zeit her ist.
Danke
Acader torsten40 „Eigendlich nicht, ausser Steam, was ich manuell installiert ...“
Ich habe Debian Jessi/sid
Du weißt aber schon was es damit auf sich hat?
Solltest du daher eher nur auf einem extra Testrechner nutzen.
Nach einiger Suche auf den Debianservern, war die Datei tatsächlich nicht mehr da, sondern schon durch eine neuere ersetzt wurden. In letzter Zeit passiert das halt immer häufiger, und es kann ja sein, dass dann mit dem System etwas nicht stimmt.
Das ist doch bei Debian unstable normal.
ausser Steam, was ich manuell installiert habe
Und warum nimmste da nicht zumindest Debian/Testing?
MfG Acader
the_mic torsten40 „Mein Verdacht kommt nicht ungefähr. Ich glaube zwar nicht, ...“
Du aktualisierst aber schon regelmässig den Paketindex bevor zu etwas zu installieren versuchst?
z.B. mittels aptitude update oder apt-get update
Grad bei Debian Jessie (testing) ist die Paketfluktuation relativ gross, da gibt's andauernd neue Versionen und alte Pakete fallen raus. Dass dein System noch Kernel 3.14 nutzt, lässt darauf schliessen, dass schon länger kein dist-upgrade mehr durchgeführt wurde...
gelöscht_84526 torsten40 „Mein Verdacht kommt nicht ungefähr. Ich glaube zwar nicht, ...“
Ich habe Debian Jessi/sid
Nach einiger Suche auf den Debianservern, war die Datei tatsächlich nicht mehr da, sondern schon durch eine neuere ersetzt wurden.
Klar, ne..........
Gruß
K.-H.
Systemcrasher Acader „Diese Frage stellt sich doch unter Linux gar nicht. Dann ...“
Wie soll dann Schadsoftware in das System gelangen?
Über Sicherheitslücken im Browser.
Ob und welchen Schaden die dann (nnerhalb der Browserumgebung) anrichten, hängt zu einem großen Teil von der Rechtevergabe des Users ab.
Hat der root-Rechte, siehts schon dämlicher aus.
Insgesamt dürfte die meiste Schadsoftware aber an de schier unüberschaubaren Konfiurationsunterschieden der einzelnen Linuxsysteme scheitern.
Borlander Acader „Diese Frage stellt sich doch unter Linux gar nicht. Dann ...“
Wie soll dann Schadsoftware in das System gelangen?
Über Sicherheitslücken. Sei es in Systemdiensten oder auch auf Anwendungsebene. Ich habe schon befallene Server mit eigenen Augen gesehen, das ist also keine rein theoretische Gefahr…
Acader Borlander „Über Sicherheitslücken. Sei es in Systemdiensten oder ...“
Über Sicherheitslücken. Sei es in Systemdiensten oder auch auf Anwendungsebene.
Meine Aussage bezieht sich aber auf stabile Distributionen. Dazu gehört natürlich nicht z.B. ein Debian Sid oder auch Software welche nicht geprüft oder offiziell für die jeweilige Distribution freigegeben wurde.
Ich habe schon befallene Server mit eigenen Augen gesehen
Deshalb sollte man eben besser nur die vertrauenswürtigen Quellen nutzen. Nicht umsonst wird ja schließlich vor Fremdquellen gewarnt. Praktisch hat man deshalb mit Schadsoftware unter Linux da wohl eher kein Problem wenn man sich daran hält.
Deshalb hatte ich geschrieben: Dann erkläre uns erst einmal wie du unter Linux überhaupt Schadsoftware installieren willst.
MfG Acader
Borlander Acader „Meine Aussage bezieht sich aber auf stabile Distributionen. ...“
In den Fällen die ich gesehen habe lief natürlich eine stabile Distribution ohne Einsatz von Fremdquellen. Das ist bei Serversystemen durchaus keine so exotischer Konfiguration…
gelöscht_322213 Acader „Meine Aussage bezieht sich aber auf stabile Distributionen. ...“
Acader gelöscht_322213 „https://portal.cert.dfn.de/adv/archive/?search tag debian“
https://portal.cert.dfn.de/adv/archive/?search=&tag=debian
Kenne ich nur zu gut.
Man muß diese Software nicht unbedingt installieren. Falls doch wird nach Erkennung von Bugs (und das passiert meistens) durch die Paketbetreueung Abhilfe geschaffen.Deshalb stabile Versionen auch laufend aktualisieren.
Alles außerhalb von freigegebener stabiler Software ist eine andere Sache und für 99% der Linuxer daher ohne Bedeutung.
Der ordnungsgemäße Umgang mit Linuxsystemen natürlich vorausgesetzt.
MfG Acader
gelöscht_322213 Acader „Kenne ich nur zu gut. Man muß diese Software nicht ...“
Kenne ich nur zu gut.
Aha.
Man muß diese Software nicht unbedingt installieren.
Man muss überhaupt keine Software installieren, dann hat man auch überhaupt keine Sicherheitslücken zu befürchten. Herr, wirf Hirn vom Himmel.
Alles außerhalb von freigegebener stabiler Software ist eine andere Sache und für 99% der Linuxer daher ohne Bedeutung.
Der Fachmann hat gesprochen. Jetzt bin ich platt. Optionen -> Acader ausblenden.
Kabelschrat Acader „Diese Frage stellt sich doch unter Linux gar nicht. Dann ...“
Hallo acader,
gleichwertiges
Dann erkläre uns erst einmal wie du unter Linux überhaupt Schadsoftware installieren willst. Die aus den Distri-Paketquellen ist geprüfte Software und wird zusätzlich verwaltet von Paketbetreuern. Fremdsoftware hingegen installiert man nur von vertrauten Quellen.
glaubte der harte Kern der Applefans, von seinen Betriebssystemen,auch.
Gruß
Acader Kabelschrat „Hallo acader, gleichwertiges glaubte der harte Kern der ...“
glaubte der harte Kern der Applefans, von seinen Betriebssystemen,auch.
Hier geht es nicht um glauben sondern wissen.
Ich beziehe mich dabei hauptsächlich auf Debian stable. Fehler wird es immer geben. Werden diese erkannt (und das ist meistens der Fall) wird auch Abhilfe geschaffen. Der Normalanwender merkt davon in den meisten Fällen ohnehin nichts.
MfG Acader
Kabelschrat Acader „Hier geht es nicht um glauben sondern wissen. Ich beziehe ...“
Hallo acader,
was hatte Linux mit dem Nobelhobel Apple gemeinsam?
http://t3n.de/news/shellshock-bash-bug-sicherheit-linux-os-x-unix-568692/
Das!
gelöscht_189916 Kabelschrat „Hallo acader, was hatte Linux mit dem Nobelhobel Apple ...“
was hatte Linux mit dem Nobelhobel Apple gemeinsam?
Jou...
...nur das die meisten Linux-Distris den Fehler in der Bash praktisch stante pede gefixt haben. Kritische Fehler benötigen unter Linux oft nur Stunden, bis sie behoben werden und bei einem fähigen Admin ist Shellshock Altpapier.
http://www.golem.de/news/shellshock-alle-bash-luecken-gepatcht-1410-109638.html
Mit dem Bekanntgeben der Lücke waren die Patches bereits freigegeben:
http://www.heise.de/security/meldung/ShellShock-Standard-Unix-Shell-Bash-erlaubt-das-Ausfuehren-von-Schadcode-2403305.html
http://www.openwall.com/lists/oss-security/2014/09/24/11
Apple hat sich immerhin Zeit bis zum 30.September gelassen und MS braucht üblicherweise für sein System nur einen Tag im Monat, um Sicherheitslücken zu schliessen. Das liegt vermutlich daran, dass es so sicher ist wie Fort Knox und im Gegensatz zu diesem krätzigen Hobby-Frickel-System Linux auch gleich alle installierten Programme mit aktualisiert, so dass auch von dieser Seite nix passieren kann.
gelöscht_322213 torsten40 „Woran erkennt man, dass man 0wn3d ist“
Du hast natürlich recht, nur absolute Schwachköpfe würden bestreiten dass man unter Linux vor Schadsoftware gefeit wäre. Ansonsten ist aber eher auf rootkits zu achten (http://wiki.ubuntuusers.de/rkhunter und viele, viele weitere Quellen. Google hilft...). Vor dem Gebrauch aller möglichen Repositories wird übrigens von den Distributionen selbst gewarnt, scheint sich nur noch nicht bis zu allen Fanboys herumgesprochen zu haben. Gruß vom Tauchlehrer.
torsten40 gelöscht_322213 „Du hast natürlich recht, nur absolute Schwachköpfe würden ...“
Sowas in der Art habe ich gesucht.
Danke
Wiesner torsten40 „Woran erkennt man, dass man 0wn3d ist“
Da die meiste Schadsoftware "Telefoniert" würde ich mir mit iptables die geöffneten Ports und deren Prozesse ansehen.
Vielleicht findest du so Auffälligkeiten.
