Virenschutz unter Linux

[sergej2018]

Moin zusammen,

mir ist klar: Ist ein großes Thema.
Es geht mir nicht so sehr darum, wie man das Thema behandelt, wenn Linux als Fileserver eingesetzt wird, sondern wie man das System selbst sichern kann.
Bisher nutze ich nur chkrootkit und rkhunter, die ich händisch ab und an durchlaufen lassen.
Aber gerade wenn man zB viele VMs betreibt ist das ohne weiteres Zutun nicht praktikabel.
Außerdem: Wie seht ihr das, sind Schädlinge auf Linux schon ein ernst zu nehmendes Problem? Bzw. was tut ihr so?

[Radfahrer]

...was tut ihr so?

Nix.

[whisper]

Meine Erfahrung ist, dass Schädlinge immer über Web reinkommen.
Wenn dein Fileserver nicht gleichzeitig Web-Dienste bereitstellt, brauchst du dir keine Sorgen machen.

[sergej2018]

Moin!

Meinst du mit "per Web rein kommen" über nen Browser?
Sonst verstehe ich die Äußerung mit Webdienst nicht.
Denn PER Web über einen Webdienst reinkommen kann über zB eine statische Homepage ja auch nichts?
Das ginge ja nur, wenn das Hochladen von Dateien von außen aktiviert ist.

Mir geht's jetzt auch um ganz banale Systeme, z.B. einen DHCP- oder DNS-Server.
Mir fällt kein Grund ein, warum man diese gegen Viren schützen sollte. Denn ich wüsst' garnicht, wie Viren da überhaupt drauf kommen sollen.

[whisper]

Moin!

Meinst du mit "per Web rein kommen" über nen Browser?
Sonst verstehe ich die Äußerung mit Webdienst nicht.
Denn PER Web über einen Webdienst reinkommen kann über zB eine statische Homepage ja auch nichts?

Ich rede von typischen CMS System Joomla, Wordpress u.a.
Statische Seiten sind NATÜRLICH uninteressant, wenn der Webserver selbst sicher ist.

[reox]

Meine Erfahrung ist, dass Schädlinge immer über Web reinkommen.

Oder per ssh/telnet/rdp/...
Die klappern einfach alle Server ab und probieren typische Passwörter aus, wenn sie einen Server finden der offen ist, wird gleich mal was installiert.

Ansonsten sind alle offenen Dienste nach außen immer gefährdet. Auch wenn dein CMS super sicher ist, du aber die SQL Datenbank offen hast, kann dir jemand den Inhalt überschreiben.

Mir geht's jetzt auch um ganz banale Systeme, z.B. einen DHCP- oder DNS-Server.
Mir fällt kein Grund ein, warum man diese gegen Viren schützen sollte. Denn ich wüsst' garnicht, wie Viren da überhaupt drauf kommen sollen.

Das schlüsselwort ist RCE: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=RCE
Wenn du irgendeinen Dienst am laufen hast, der gegen eine Remote Code Execution zulässt, kann es sein, dass jemand root rechte erlangt und so irgendwas auf deinem System installiert.

[Trollkirsche]

Meine Erfahrung ist, dass Schädlinge immer über Web reinkommen.

Oder per ssh/telnet/rdp/...
Die klappern einfach alle Server ab und probieren typische Passwörter aus, wenn sie einen Server finden der offen ist, wird gleich mal was installiert.

Ansonsten sind alle offenen Dienste nach außen immer gefährdet. Auch wenn dein CMS super sicher ist, du aber die SQL Datenbank offen hast, kann dir jemand den Inhalt überschreiben.

Mir geht's jetzt auch um ganz banale Systeme, z.B. einen DHCP- oder DNS-Server.
Mir fällt kein Grund ein, warum man diese gegen Viren schützen sollte. Denn ich wüsst' garnicht, wie Viren da überhaupt drauf kommen sollen.

Das schlüsselwort ist RCE: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=RCE
Wenn du irgendeinen Dienst am laufen hast, der gegen eine Remote Code Execution zulässt, kann es sein, dass jemand root rechte erlangt und so irgendwas auf deinem System installiert.

Erstmal muss man wissen das ein offener Port nur dann angegriffen werden kann, wenn auch dahinter ein Dienst steht. Je nach dahinterliegender, verbuggter Software können dann Exploits ausgenutzt werden. Wenn mit Zertifikaten gearbeitet wird und man weiss was man tut, ist es kaum möglich, zb. einen SSHd zu übernehmen.

Viren sind unter Linux kaum ein Problem und ein Virenscanner empfiehlt sich vor allem wenn man Dateien für Windows Plattformen bereitstellt.

Als Security Tool kann ich Firejail empfehlen, auch wenn ich selbst erst noch am lernen bin, die Konfiguration für die meisten Programme ist gleich 0. Damit lassen sich Dienste und Software sehr gut in eine Sandbox sperren. Falls so jemand Zugriff auf die Software erhält, hat er sie dadurch nicht gleich automatisch auf das ganze System.

[MSfree]

Erstmal muss man wissen das ein offener Port nur dann angegriffen werden kann, wenn auch dahinter ein Dienst steht.

Zunächst muß man wissen, daß jedes Netzwerkpaket zuerst einmal im Linuxkernel ankommt. Wenn man es im Kernel schafft, durch falsch formatierte Netzwerkpakete einen Pufferüberlauf auszulösen, hat man die Kiste unter Kontrolle. Ob an dem "Port" irgendeine Software lauscht oder nicht, spielt dann überhaupt keine Rolle mehr.

[reox]

Erstmal muss man wissen das ein offener Port nur dann angegriffen werden kann, wenn auch dahinter ein Dienst steht.

Zunächst muß man wissen, daß jedes Netzwerkpaket zuerst einmal im Linuxkernel ankommt. Wenn man es im Kernel schafft, durch falsch formatierte Netzwerkpakete einen Pufferüberlauf auszulösen, hat man die Kiste unter Kontrolle. Ob an dem "Port" irgendeine Software lauscht oder nicht, spielt dann überhaupt keine Rolle mehr.

Naja oder du schaffst es sogar die Firmware vom NIC zu knacken - dann hast gleich mal DMA

Wenn mit Zertifikaten gearbeitet wird und man weiss was man tut, ist es kaum möglich, zb. einen SSHd zu übernehmen.

Ja, das ist mal eine Variante

Viren sind unter Linux kaum ein Problem und ein Virenscanner empfiehlt sich vor allem wenn man Dateien für Windows Plattformen bereitstellt.

Naja also die Anzahl an Malware die direkt Linux attackiert ist eher gering - das stimmt (Außer du nimmst Android mit dazu )
Wobei natürlich die Anzahl an Ransomware auch zugenommen hat. In so einem Fall würde ich aber eh auf der Kiste nix mehr machen sondern hoffen das ich ein nicht kompromittiertes Backup habe...
Das Problem ist ja eher alles drum herum - wie zB das du auf deinem Server auf einmal einen Command and Control Server laufen hast, oder über deine Webseite Phishing Seiten gehostet werden oder dein Mailserver als Spamschleuder missbraucht wird oder der DNS für eine Amplification Attack verwendet wird oder ...

Wie du schon sagst, ist es sicherlich in erster Linie eine Schwäche an der Konfiguration die sowas zulässt.

Wenn man wirklich einen Linux Antivirus sucht, gibts ja vermutlich eh nicht viele (ich hab mich damit nie wirklich beschäftigt) und file-less infektionen machen es ebenfalls schwer die Teile im Betrieb zu finden - jedenfalls nicht mit Scannern die nur Dateibasiert sind.

[TomL]

Wenn man es im Kernel schafft, durch falsch formatierte Netzwerkpakete einen Pufferüberlauf auszulösen, hat man die Kiste unter Kontrolle. Ob an dem "Port" irgendeine Software lauscht oder nicht, spielt dann überhaupt keine Rolle mehr.

Ein falsch formatiertes Netzwerk-Paket enthält ja noch nicht die Schadsoftware und unter Kontrolle bedeutet meines Verständnisses nach, das ein Code die Kontrolle ausübt. Wie funktioniert das in Deinem Denk-Modell? Mich interessiert das jetzt persönlich, weil auf meinem Server definitiv Pakete aus dem Internet ankommen, vermutlich auch 'ungültige'... aber selbst wenn die einen Überlauf verursachen könnten, wo kommt dann der Code für die Kontrolle her?

[MSfree]

aber selbst wenn die einen Überlauf verursachen könnten, wo kommt dann der Code für die Kontrolle her?

Ein Pufferüberlauf ist zunächst einmal noch keine Übernahme des Rechners, da hast du schon Recht. Normalerweise resultiert sowas in einem Segmentation Fault, und da hier der Kernel involviert ist, in einem Kernel Panic.

Allerdings enthält ein Netzwerkpaket auch Daten. Ein erfolgreicher Pufferüberlauf ist in der Regel so zugeschnitten, daß man den Stack geschickt manipuliert und z.B. Rücksprungadressen mit dem Überlauf verändert. Setzt man so eine Rücksprungadresse in eine Bibliotheksfunktion, die z.B. eine Shell öffnet, hat man Zugang mit Systemrechten.

Die Erfinder von TCP/IP haben allerdings eine ganze Reihe von Vorsichtsmaßnahmen in den Netzwerkverkehr eingebaut, um Angriffe mit falsch formatierten Netzwerkpaketen zu erkennen und solche Pakete zu verwerfen. Jedes Netzwerkpaket hat z.B. eine Längeninformation, also die Anzahl Bytes der Nutzdaten. Ein Netzwerkpaket, das kürzer ist als die Längenangabe, wird bereits von der Netzwerkkarte als fehlerhaft verworfen. Eines, das länger ist, als die Längenangabe, kann nicht vorkommen, weil es auf die angegebene Läge beschnitten wird. Eine CRC Prüfsumme sorgt dafür, Fehler bei der Übertragung zu erkennen.

Der Klassiker unter den falsch formatierten Netzwerkpaketen war der Ping of Death, der allerdings nur bis WIn95 ausnutzbar war.

[TomL]

Ich filtere auf meinen Systemen 'invalid'-Pakete raus. Kann ich dann davon ausgehen, dass Dein Gedankenspiel deswegen ein eher theoretisches Gefahrenrisiko ist?

[Trollkirsche]

Erstmal muss man wissen das ein offener Port nur dann angegriffen werden kann, wenn auch dahinter ein Dienst steht.

Zunächst muß man wissen, daß jedes Netzwerkpaket zuerst einmal im Linuxkernel ankommt. Wenn man es im Kernel schafft, durch falsch formatierte Netzwerkpakete einen Pufferüberlauf auszulösen, hat man die Kiste unter Kontrolle. Ob an dem "Port" irgendeine Software lauscht oder nicht, spielt dann überhaupt keine Rolle mehr.

D.h. das in dem Falle auch kein Firejail mehr greifen würde. Wie oft kommen solche von dir beschriebenen Attacken im Alltag vor? Deine Ausführungen sind jedoch interessant, das wusste ich nicht.

[TomL]

Wie oft kommen solche von dir beschriebenen Attacken im Alltag vor?

Wenn Alltag uns Privat-User und nicht irgendwelche Big-Player-Internet-Dienstleister meint, vermutlich gar nicht, weil Du mit Deinem Browser mit ziemlich großer Wahrscheinlichkeit keine solche subversiven Seiten öffnest, die ein solches Paket versenden könnten und das auch tun. Und alle Seiten, die 'wir' so öffnen... ich schätze, da können wir glauben, dass von da solche Attacke-Pakete nicht passieren. Darüberhinaus kann das auch nicht aus dem Internet initiiert passieren (von den üblichen Port-Checkern), weil das erfordert, dass Du einen Port im DSL-Router geöffnet und auf irgendeine Maschine weitergeleitet hast.

Ich halte das im Moment also für weniger als ein theoretisches Problem. Wäre es ein Problem, hätte man vermutlich öfter und mehr davon gelesen. Und um auf die Eingangsfrage des Threads zurückzukommen.... die Antwort lautet natürlich: Nix! Ich würde allenfalls einen Windows-Scanner installieren, wenn mein Server Ressourcen für Windows-Maschinen zur Verfügung stellen würde. Weil er das aber nicht tut, brauchts imho derzeit auch keine AV-Programme, und unsere Debian-Clients allesamt sowieso nicht.

[MSfree]

Ich filtere auf meinen Systemen 'invalid'-Pakete raus. Kann ich dann davon ausgehen, dass Dein Gedankenspiel deswegen ein eher theoretisches Gefahrenrisiko ist?

Dein Paketfilter heißt vermutlich iptables oder nftables und läuft im Kernel. Ein Fehler im Filtermechanismus würde sich also direkt im Kernel auswirken. Mit anderen Worten, egal ob du überhaupt filterst, die Pakete müssen durch den Kernel.

Allerdings kann man schon davon ausgehen, daß die TCP/IP-Implemetierung im Kernel so robust ist, daß dadurch kaum Gefahr besteht. Fehlerfreiheit kann hier jedoch keiner garantieren.

[debianoli]

Und wie sieht es mit Angriffen über Pdf Jpg Libreoffice etc aus? Wäre doch möglich, durch eine Lücke in libpoppler zB bei Pdf.

[MSfree]

Und wie sieht es mit Angriffen über Pdf Jpg Libreoffice etc aus?

Natürlich könnte ein Angreifer versuchen, eine Linuxkiste zu übernehmen, indem er Lücken in Programmen und Bibliotheken nutzt. Sicherer als Windows ist ein Linxrechner hier jedenfalls nicht.

Ich halte einen Virenschutz für Linux dennoch für völlig überflüssig. Einfach, weil Viren für Betriebssysteme entwickelt werden, die einen hohen Vebreitungsgrad haben.

Auf dem Desktop hat Windows nunmal eine Verbreitung von über 95%. Warum sollte ein Malwareentwickler etwas für einen 5%-"Markt" enwickeln, der sich auch noch auf Linux, BSD und OSX aufspalten läßt?

Im Serverbereich hat Linux sicherlich eine hohe Verbreitung. Dort laufen aber keine Officepakete, sind also durch Albernheiten wie Macros in .docx-Dateien oder PDF nicht angreifbar. Dafür werden aber Lücken in HTTP-, VPN-, FTP-Software ausgenutzt oder gleich Bruteforce mit Listen von Standardpaßwörtern geknackt.

[atarixle]

Viren ansich, so meine Einschätzung, sind unter Linux kein Thema.

Denn ohne das Zutun des Users kommen auch auf einen Windows-Rechner hinter einem Speedport oder einer FritzBox keine Viren.

Und ein Linux-Server läuft die meiste Zeit, ohne dass jemand dransitzt und auf Pr0n-Seiten Werbung anklickt.

Will man mit dem Linux-File-Server Windows-Clients bedienen, so könnte man schon über die Benutzung von ClamAV als Scanner nachdenken.

Ansonsten: Snap-Store meiden (da sieht's aus, wie im PlayStore) und unseriöse Repositories ausschließen.

[MSfree]

Will man mit dem Linux-File-Server Windows-Clients bedienen, so könnte man schon über die Benutzung von ClamAV als Scanner nachdenken.

Nein, nicht wirklich.

Auf welchem Windowsrechner läuft heutzutage kein Virenscanner? Das von Microsoft stammende Malicious Software Removal Tool ist doch schon Bestandteil aktueller Windowsversionen und ist so gut wie jeder andere Virenscanner. Warum sollte man also Viren doppelt scannen (also auf Server und Client)?

Ähnliches gilt für Mailserver. Der Windows Mailclient nutzt mindestens den MSRT, ist also auch vor bekannter Schadsoftware geschützt.

Das größte Problem wird aber nicht von bekannter Schadsoftware verursacht sondern von der, die in noch keiner Virensignaturendatei stehen. Und dagegen hilft sowieso kein Virenscanner der Welt. Wer Schadsoftware entwickelt, mit der gezielt gewisser Bereiche in kleinen Stückzahlen angegriffen werden sollen, bleibt lange unter dem Radar der Antivirensoftware. Beipsiele sind hier Staatstrojaner, die gerade nicht massenhaft und wahllos Rechner angreifen sondern gezielt auf wenige Geräte gebracht wird.

[TomL]

Allerdings enthält ein Netzwerkpaket auch Daten. Ein erfolgreicher Pufferüberlauf ist in der Regel so zugeschnitten, daß man den Stack geschickt manipuliert und z.B. Rücksprungadressen mit dem Überlauf verändert. Setzt man so eine Rücksprungadresse in eine Bibliotheksfunktion, die z.B. eine Shell öffnet, hat man Zugang mit Systemrechten.

Ich musste da erst noch mal drüber nachdenken... für so'n Eingangsposting zuck ich ja noch nicht mal mit 'ner Wimper, aber wenn Du so Klamotten raushaust, dann schellt die Glocke schon lauter und ich werd wach

Ich denke, wenn wir jetzt mal den schon im Vorfeld bereits kompromittierten PC außer acht lassen (weils dann eh egal ist und auch sowieso zu spät) und betrachten nur den von außen kommenden Initial-Angriff auf ein sauberes (!) Systems, dann kann das eigentlich nicht ohne konkrete Kenntnisse über das Ziel funktionieren. Das heisst, der Angriff muss gezielt sein, der Angreifer muss wissen, dass ich ein Linux betreibe. Und nicht nur das, er muss wissen, welche Alternativen der benötigten Libs installiert sind und sogar deren hier installierte Version kennen, damit er überhaupt eine Rücksprungadresse manipulieren kann. Aber wie soll das alles gehen? All die Adressen, die mein Server täglich killt, kommen von jenseits der Welt (China, Russland, USA, usw.) und die wissen definitiv nix von meinem Linux... das sind ja auch keine Ansurf-Adressen, sondern definitiv Adressen, die das Netz rund um die Uhr -mit welcher Motivation auch immer- rein zufällig (auf Security-Löcher?) untersuchen.

Code: Alles auswählen

Journal summary at last few days:
Apr 25 23:17:20 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=71.6.146.185 
Apr 26 04:08:33 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=198.108.67.20 
Apr 26 05:52:05 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=184.105.139.78 
Apr 26 16:17:03 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=139.162.131.114 
Apr 27 02:04:36 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=71.6.158.166 
Apr 27 06:19:17 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=184.105.247.238 
Apr 27 20:16:52 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=208.93.152.20 
Apr 27 23:50:33 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=139.162.125.159 
Apr 28 03:39:06 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:07 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:09 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:11 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:12 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:14 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:16 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:17 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:19 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:21 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:22 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:24 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 07:28:16 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.173.140.93 
Apr 28 07:28:22 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.173.140.93 
Apr 28 07:28:38 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.173.140.93 
Apr 28 07:28:41 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.173.140.93 
Apr 28 07:28:47 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.173.140.93 
Apr 28 13:16:08 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=198.108.66.58 
Apr 28 22:02:27 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=208.93.152.17 
Apr 29 05:33:12 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=216.218.206.67 

Und wie sieht es mit Angriffen über Pdf Jpg Libreoffice etc aus? Wäre doch möglich, durch eine Lücke in libpoppler zB bei Pdf.

Natürlich könnte ein Angreifer versuchen, eine Linuxkiste zu übernehmen, indem er Lücken in Programmen und Bibliotheken nutzt. Sicherer als Windows ist ein Linxrechner hier jedenfalls nicht.

Die Frage war ja nach jpgs, pdf und so.... ich denke, es gibt da nicht sowas wie 'multiresistente' Viren in einem jpg oder pdf, die gleichermaßen auf einem Android, Apple, Linux oder Windows funktionieren können. Wie soll das denn gehen? Selbst wenn ein unentdeckter Exploit in einer Standard-pdf-format-Lib enthalten wäre, so sind doch deren Lib-Adressen auf den Betriebsystemen völlig unterschiedlich und so haben die Programme dann auch völlig unterschiedliche Ausführungsrechte auf den Geräten. Wer will denn vorhersagen, welches jpg und welche pdf auf welchem Betriebssystem und mit welchem Viewer geöffnet wird und ob überhaupt. Die Frage bleibt, wenn es kein gezielter Angriff ganz konkret auf meine Maschine ist, woher weiss der Angreifer, welches Werkzeug für den Einbruch überhaupt gebraucht wird? Solche Attacken bleiben doch allesamt nur rein zufälliges rumgestochere im Loch, ohne eine garantierte Aussicht auf Erfolg. Für mich ist das eher so wie bei den Schimpansen, wenn sie mit 'nem Stock in tiefen Löchern nach Ameisen fischen.... nur wo sehr viele Ameisen sitzen, bleibe vielleicht einige wenige zufällig hängen... wenn betriffts also? Natürlich Windows.

Ich bewerte das im Moment alles als Schauermärchen. Wem nutzen die? Na denen, die mit AV-Programmen ihren Unterhalt verdienen. Auch die Eingangsfrage des Threads ist für mich -seit ich Debian verwende und nun auch ein wenig verstanden habe- eher zu einer Merkwürdigkeit geworden. Ich setze das heute gleich mit der Frage "Hi@all, wir habe nen großen Weihnachtsbaum mit echten Kerzen, welchen Feuerlöscher soll ich kaufen?" Und da denke ich mir heute "Hallo? Gehts noch? Du spielst in der Wohnung mit offenem Feuer an trockenen Holz rum und fackelst damit vielleicht selber Deine Bude ab und fragst nach 'nem Feuerlöscher? Vielleicht hilft ja auch einfach mal Gehirn einschalten und LED-Kerzen zu verwenden."

Ich habe ohne jeden Zweifel die Überzeugung, dass ein Virenbefall auf unseren Systemen definitiv nicht möglich ist, weil sich kein einziger Anwender Änderungsrechte am System aneignen kann. Das heisst, ein Virus könnte schlimmstenfalls ein Homedir erreichen und nur die Daten eines einzelnen Users verändern. Ja und? Dann lösch ich halt das ganze homedir und spiel 'nen Backup ein, dauert vielleicht 5 Minuten.... oder so. Eine der absolut wirksamsten Defensiv-Methoden ist meiner Meinung nach, zu verhindern, dass sich ein Angreifer über den User dessen Admin-Rechte aneignen kann. Dafür reicht unter den üblichen bekannten Linuxen ein einziger Befehl: apt purge --remove sudo .... was bei Debian aber sowieso kein Problem darstellt.

Um noch mal auf das Wort "Alltag" zurückzukommen... ich glaube, die Kompromittierung eines typischen privaten Rechners erfolgt in 99% aller Fälle nicht von außen, sondern wird von innen durch den User an der Tastatur geradezu autorisiert.... sei es aus Dummheit oder Fahrlässigkeit, aber sie erfolgt letztlich immer von innen unter missbräuchlicher Verwendung der Rechte des angemeldeten Users. Und genau das funktioniert immer dann am besten, wenn der User Rechte hat, die er gar nicht haben muss. Fazit: Selber schuld.

[MSfree]

...dann kann das eigentlich nicht ohne konkrete Kenntnisse über das Ziel funktionieren. Das heisst, der Angriff muss gezielt sein, der Angreifer muss wissen, dass ich ein Linux betreibe. ...

Es gibt verschiedenen Methoden, das OS und seine Version von aussen festzustellen:

https://de.wikipedia.org/wiki/OS-Fingerprinting

Die Frage war ja nach jpgs, pdf und so....

Schon klar. Natürlich wirst du mit einer manipulierten Datei, die einen Pufferüberlauf auslöst, nicht in jedem Betriebssystem Erfolg haben. Monokulturen wie Windows und Android erleichtern den Angriff aber.

Die Frage bleibt, wenn es kein gezielter Angriff ganz konkret auf meine Maschine ist, woher weiss der Angreifer, welches Werkzeug für den Einbruch überhaupt gebraucht wird? Solche Attacken bleiben doch allesamt nur rein zufälliges rumgestochere im Loch, ohne eine garantierte Aussicht auf Erfolg.

Über Server im Internet sind in der Regel viele Dinge bekannt. Man weiß z.B., welcher Webserver in welcher Version mit welchen angreifbaren Erweiterungen und PHP-Versionen eingesetzt wird. Man kennt den Kernel und seine Revision. Damit kann man dann gezielt auf die Suche nach Angriffswerkzeugen gehen.

wen betriffts also? Natürlich Windows.

Man liest immer wieder von geknackten Systemen. Erst am Freitag wurde bekannt, daß Docker Hub geknackt wurde und 190000 Kundendaten abgezogen wurden. Angriffe werden also oft über Bande gespielt. Man knackt einen "Big Player", beschafft sich Login-Daten und übernimmt in aller Ruhe 190000 Kundeninstanzen, deren Paßwort man sich beschafft hat.

Wem nutzen die?

Irgendwo müssen z.B. die Silkroad-Betreiber ihre Daten ja gehostet haben. Was eignet sich dafür besser als ein gekaperter Server?

Ich habe ohne jeden Zweifel die Überzeugung, dass ein Virenbefall auf unseren Systemen definitiv nicht möglich ist, weil sich kein einziger Anwender Änderungsrechte am System aneignen kann.

Dann solltest du vielleicht hier mal reinschauen:
https://de.wikipedia.org/wiki/Rechteausweitung

Letztlich will ich hier keinem Angst machen. Ich habe zwar schonmal die Übernahme eines von mir betreuten Linuxrechner live miterlebt. Schaden ist dadurch kaum entstanden, ausser ein paar Stunden Dienstausfall. Mir war es eine Lehre, gewisse Dinge besser zu schützen und Linux nicht kathegorisch als sicher zu betrachten. Trotzdem, oder vielleicht gerade deswegen, nutze ich keine Virenscanner, denn vor unbekannten Lücken schützen sie nicht und gegen bekannte Lücken gibt es Softwarepatches.

[TomL]

Es gibt verschiedenen Methoden, das OS und seine Version von aussen festzustellen:
https://de.wikipedia.org/wiki/OS-Fingerprinting

Ja, richtig... aber das bedarf einer vorherigen erfolgreichen Kommunikation, die es bei den oben in meiner Liste enthaltenen IPs aber nicht gibt. Die gelisteten Pakete hatten ja gar nicht erst die Möglichkeit, an einen Fingerprint zu kommen. Und jene Dienste, die das durch Sammeln von Kommunikationsdaten könnten, also irgendwelche Geheimdienste... nun ja, wenn die das täten, dann läge anscheinend bei denen ein konkretes Interesse an mir vor und es wäre tatsächlich ein gezielter Angriff. Aber dann könnte man annehmen, dass bei mir wohl irgendwas in letzter Zukunft verkehrt gelaufen ist. Vermutlich sollte ich mir dann eher noch andere Gedanken und Sorgen machen. Aber wie gesagt, das schließe ich aus.

Schon klar. Natürlich wirst du mit einer manipulierten Datei, die einen Pufferüberlauf auslöst, nicht in jedem Betriebssystem Erfolg haben. Monokulturen wie Windows und Android erleichtern den Angriff aber.

Aber es bleibt trotzdem zufällig.

Über Server im Internet sind in der Regel viele Dinge bekannt. Man weiß z.B., welcher Webserver in welcher Version mit welchen angreifbaren Erweiterungen und PHP-Versionen eingesetzt wird. Man kennt den Kernel und seine Revision. Damit kann man dann gezielt auf die Suche nach Angriffswerkzeugen gehen.

Ja, kein Widerspruch. Aber dann ist es -soweit es meine IP-Liste angeht- nicht mehr zufällig, sondern gezielt. Ich halte diesen unterscheidenden Punkt für sehr wichtig. Denn wiederholte gezielte Angriffe unter Einbeziehung von Erfahrungen und Erkenntnissen über das Zielobjekt sind ne ganz andere Hausnummer. Aber ich speche hier immer mehr oder weniger von privaten PCs und vielleicht privat betriebenen NAS.

Dann solltest du vielleicht hier mal reinschauen:
https://de.wikipedia.org/wiki/Rechteausweitung

Auf keinem unserer Systeme gibts privilegierte Benutzer, also auch keine Unterschiede bei den Rechten der User. Das von irgendwo etwas erschlichen werden kann, ist somit eigentlich ausgeschlossen. Und selbst wenn, dann übernimmt ein rechteloser User lediglich die Rechte eines anderen rechtelosen Users.

Mir war es eine Lehre, gewisse Dinge besser zu schützen und Linux nicht kathegorisch als sicher zu betrachten. Trotzdem, oder vielleicht gerade deswegen, nutze ich keine Virenscanner, denn vor unbekannten Lücken schützen sie nicht und gegen bekannte Lücken gibt es Softwarepatches.

Genau so sehe ich das heute auch. Ich glaube sogar, dass Windows aufgrund des enorm aggressiven Drucks im Windows-Ökosystem ein deutlich besseres Immunsystem als Linux hat. Aber ich bin genauso davon überzeugt, dass ich mit Debian eine Sicherheit herstellen kann, die ich mit Windows mit gleicher Effizienz nicht erreichen kann. Nämlich spätestens an dem Punkt, wo eine propietäre Software Adminrechte verlangt, gebe ich die Kontrolle über mein System faktisch aus der Hand. Virenscanner für Linux täuschen auch meiner Meinung nach nur eine Sicherheit vor, die es hier aber gar nicht gibt... also besser kein Virenscanner.

[uname]

Schon interessant, dass unter Windows der Anwender nicht mit Administrator-Rechten arbeiten soll aber der Virenscanner Administratorrechte benötigt.

[Trollkirsche]

Wie oft kommen solche von dir beschriebenen Attacken im Alltag vor?

Wenn Alltag uns Privat-User und nicht irgendwelche Big-Player-Internet-Dienstleister meint, vermutlich gar nicht, weil Du mit Deinem Browser mit ziemlich großer Wahrscheinlichkeit keine solche subversiven Seiten öffnest, die ein solches Paket versenden könnten und das auch tun. Und alle Seiten, die 'wir' so öffnen... ich schätze, da können wir glauben, dass von da solche Attacke-Pakete nicht passieren. Darüberhinaus kann das auch nicht aus dem Internet initiiert passieren (von den üblichen Port-Checkern), weil das erfordert, dass Du einen Port im DSL-Router geöffnet und auf irgendeine Maschine weitergeleitet hast.

Ich halte das im Moment also für weniger als ein theoretisches Problem. Wäre es ein Problem, hätte man vermutlich öfter und mehr davon gelesen. Und um auf die Eingangsfrage des Threads zurückzukommen.... die Antwort lautet natürlich: Nix! Ich würde allenfalls einen Windows-Scanner installieren, wenn mein Server Ressourcen für Windows-Maschinen zur Verfügung stellen würde. Weil er das aber nicht tut, brauchts imho derzeit auch keine AV-Programme, und unsere Debian-Clients allesamt sowieso nicht.

Hi TomL,

Vielen dank für die Erläuterung.

Frage : Du sagst also die Attacke nur möglich ist, falls ich Port Forwarding vom Host auf das Modem betreibe. Den müsste man jedoch je nach Dienst durchaus öffnen? Wäre dann der Angriff über zb. nmap möglich? Hast du mir da mehr Informationen? Was müsste dann genau gemacht werden, damit man den Kernel damit angreifen kann? Paketgrösse verändern und diese an den Port senden?

[Trollkirsche]

Schon interessant, dass unter Windows der Anwender nicht mit Administrator-Rechten arbeiten soll aber der Virenscanner Administratorrechte benötigt.

Ist nicht schon Windows an sich eine Art "Virus"? Immerhin sendet dieses Stück an Software permanent persönliche Daten irgendwohin...