Virenschutz unter Linux

[debianoli]

Und wie sieht es mit Angriffen über Pdf Jpg Libreoffice etc aus? Wäre doch möglich, durch eine Lücke in libpoppler zB bei Pdf.

[MSfree]

Und wie sieht es mit Angriffen über Pdf Jpg Libreoffice etc aus?

Natürlich könnte ein Angreifer versuchen, eine Linuxkiste zu übernehmen, indem er Lücken in Programmen und Bibliotheken nutzt. Sicherer als Windows ist ein Linxrechner hier jedenfalls nicht.

Ich halte einen Virenschutz für Linux dennoch für völlig überflüssig. Einfach, weil Viren für Betriebssysteme entwickelt werden, die einen hohen Vebreitungsgrad haben.

Auf dem Desktop hat Windows nunmal eine Verbreitung von über 95%. Warum sollte ein Malwareentwickler etwas für einen 5%-"Markt" enwickeln, der sich auch noch auf Linux, BSD und OSX aufspalten läßt?

Im Serverbereich hat Linux sicherlich eine hohe Verbreitung. Dort laufen aber keine Officepakete, sind also durch Albernheiten wie Macros in .docx-Dateien oder PDF nicht angreifbar. Dafür werden aber Lücken in HTTP-, VPN-, FTP-Software ausgenutzt oder gleich Bruteforce mit Listen von Standardpaßwörtern geknackt.

[atarixle]

Viren ansich, so meine Einschätzung, sind unter Linux kein Thema.

Denn ohne das Zutun des Users kommen auch auf einen Windows-Rechner hinter einem Speedport oder einer FritzBox keine Viren.

Und ein Linux-Server läuft die meiste Zeit, ohne dass jemand dransitzt und auf Pr0n-Seiten Werbung anklickt.

Will man mit dem Linux-File-Server Windows-Clients bedienen, so könnte man schon über die Benutzung von ClamAV als Scanner nachdenken.

Ansonsten: Snap-Store meiden (da sieht's aus, wie im PlayStore) und unseriöse Repositories ausschließen.

[MSfree]

Will man mit dem Linux-File-Server Windows-Clients bedienen, so könnte man schon über die Benutzung von ClamAV als Scanner nachdenken.

Nein, nicht wirklich.

Auf welchem Windowsrechner läuft heutzutage kein Virenscanner? Das von Microsoft stammende Malicious Software Removal Tool ist doch schon Bestandteil aktueller Windowsversionen und ist so gut wie jeder andere Virenscanner. Warum sollte man also Viren doppelt scannen (also auf Server und Client)?

Ähnliches gilt für Mailserver. Der Windows Mailclient nutzt mindestens den MSRT, ist also auch vor bekannter Schadsoftware geschützt.

Das größte Problem wird aber nicht von bekannter Schadsoftware verursacht sondern von der, die in noch keiner Virensignaturendatei stehen. Und dagegen hilft sowieso kein Virenscanner der Welt. Wer Schadsoftware entwickelt, mit der gezielt gewisser Bereiche in kleinen Stückzahlen angegriffen werden sollen, bleibt lange unter dem Radar der Antivirensoftware. Beipsiele sind hier Staatstrojaner, die gerade nicht massenhaft und wahllos Rechner angreifen sondern gezielt auf wenige Geräte gebracht wird.

[TomL]

Allerdings enthält ein Netzwerkpaket auch Daten. Ein erfolgreicher Pufferüberlauf ist in der Regel so zugeschnitten, daß man den Stack geschickt manipuliert und z.B. Rücksprungadressen mit dem Überlauf verändert. Setzt man so eine Rücksprungadresse in eine Bibliotheksfunktion, die z.B. eine Shell öffnet, hat man Zugang mit Systemrechten.

Ich musste da erst noch mal drüber nachdenken... für so'n Eingangsposting zuck ich ja noch nicht mal mit 'ner Wimper, aber wenn Du so Klamotten raushaust, dann schellt die Glocke schon lauter und ich werd wach

Ich denke, wenn wir jetzt mal den schon im Vorfeld bereits kompromittierten PC außer acht lassen (weils dann eh egal ist und auch sowieso zu spät) und betrachten nur den von außen kommenden Initial-Angriff auf ein sauberes (!) Systems, dann kann das eigentlich nicht ohne konkrete Kenntnisse über das Ziel funktionieren. Das heisst, der Angriff muss gezielt sein, der Angreifer muss wissen, dass ich ein Linux betreibe. Und nicht nur das, er muss wissen, welche Alternativen der benötigten Libs installiert sind und sogar deren hier installierte Version kennen, damit er überhaupt eine Rücksprungadresse manipulieren kann. Aber wie soll das alles gehen? All die Adressen, die mein Server täglich killt, kommen von jenseits der Welt (China, Russland, USA, usw.) und die wissen definitiv nix von meinem Linux... das sind ja auch keine Ansurf-Adressen, sondern definitiv Adressen, die das Netz rund um die Uhr -mit welcher Motivation auch immer- rein zufällig (auf Security-Löcher?) untersuchen.

Code: Alles auswählen

Journal summary at last few days:
Apr 25 23:17:20 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=71.6.146.185 
Apr 26 04:08:33 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=198.108.67.20 
Apr 26 05:52:05 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=184.105.139.78 
Apr 26 16:17:03 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=139.162.131.114 
Apr 27 02:04:36 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=71.6.158.166 
Apr 27 06:19:17 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=184.105.247.238 
Apr 27 20:16:52 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=208.93.152.20 
Apr 27 23:50:33 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=139.162.125.159 
Apr 28 03:39:06 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:07 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:09 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:11 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:12 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:14 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:16 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:17 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:19 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:21 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:22 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:24 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 07:28:16 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.173.140.93 
Apr 28 07:28:22 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.173.140.93 
Apr 28 07:28:38 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.173.140.93 
Apr 28 07:28:41 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.173.140.93 
Apr 28 07:28:47 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.173.140.93 
Apr 28 13:16:08 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=198.108.66.58 
Apr 28 22:02:27 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=208.93.152.17 
Apr 29 05:33:12 server kernel: Blacklisted IP: IN=eno1 OUT= SRC=216.218.206.67 

Und wie sieht es mit Angriffen über Pdf Jpg Libreoffice etc aus? Wäre doch möglich, durch eine Lücke in libpoppler zB bei Pdf.

Natürlich könnte ein Angreifer versuchen, eine Linuxkiste zu übernehmen, indem er Lücken in Programmen und Bibliotheken nutzt. Sicherer als Windows ist ein Linxrechner hier jedenfalls nicht.

Die Frage war ja nach jpgs, pdf und so.... ich denke, es gibt da nicht sowas wie 'multiresistente' Viren in einem jpg oder pdf, die gleichermaßen auf einem Android, Apple, Linux oder Windows funktionieren können. Wie soll das denn gehen? Selbst wenn ein unentdeckter Exploit in einer Standard-pdf-format-Lib enthalten wäre, so sind doch deren Lib-Adressen auf den Betriebsystemen völlig unterschiedlich und so haben die Programme dann auch völlig unterschiedliche Ausführungsrechte auf den Geräten. Wer will denn vorhersagen, welches jpg und welche pdf auf welchem Betriebssystem und mit welchem Viewer geöffnet wird und ob überhaupt. Die Frage bleibt, wenn es kein gezielter Angriff ganz konkret auf meine Maschine ist, woher weiss der Angreifer, welches Werkzeug für den Einbruch überhaupt gebraucht wird? Solche Attacken bleiben doch allesamt nur rein zufälliges rumgestochere im Loch, ohne eine garantierte Aussicht auf Erfolg. Für mich ist das eher so wie bei den Schimpansen, wenn sie mit 'nem Stock in tiefen Löchern nach Ameisen fischen.... nur wo sehr viele Ameisen sitzen, bleibe vielleicht einige wenige zufällig hängen... wenn betriffts also? Natürlich Windows.

Ich bewerte das im Moment alles als Schauermärchen. Wem nutzen die? Na denen, die mit AV-Programmen ihren Unterhalt verdienen. Auch die Eingangsfrage des Threads ist für mich -seit ich Debian verwende und nun auch ein wenig verstanden habe- eher zu einer Merkwürdigkeit geworden. Ich setze das heute gleich mit der Frage "Hi@all, wir habe nen großen Weihnachtsbaum mit echten Kerzen, welchen Feuerlöscher soll ich kaufen?" Und da denke ich mir heute "Hallo? Gehts noch? Du spielst in der Wohnung mit offenem Feuer an trockenen Holz rum und fackelst damit vielleicht selber Deine Bude ab und fragst nach 'nem Feuerlöscher? Vielleicht hilft ja auch einfach mal Gehirn einschalten und LED-Kerzen zu verwenden."

Ich habe ohne jeden Zweifel die Überzeugung, dass ein Virenbefall auf unseren Systemen definitiv nicht möglich ist, weil sich kein einziger Anwender Änderungsrechte am System aneignen kann. Das heisst, ein Virus könnte schlimmstenfalls ein Homedir erreichen und nur die Daten eines einzelnen Users verändern. Ja und? Dann lösch ich halt das ganze homedir und spiel 'nen Backup ein, dauert vielleicht 5 Minuten.... oder so. Eine der absolut wirksamsten Defensiv-Methoden ist meiner Meinung nach, zu verhindern, dass sich ein Angreifer über den User dessen Admin-Rechte aneignen kann. Dafür reicht unter den üblichen bekannten Linuxen ein einziger Befehl: apt purge --remove sudo .... was bei Debian aber sowieso kein Problem darstellt.

Um noch mal auf das Wort "Alltag" zurückzukommen... ich glaube, die Kompromittierung eines typischen privaten Rechners erfolgt in 99% aller Fälle nicht von außen, sondern wird von innen durch den User an der Tastatur geradezu autorisiert.... sei es aus Dummheit oder Fahrlässigkeit, aber sie erfolgt letztlich immer von innen unter missbräuchlicher Verwendung der Rechte des angemeldeten Users. Und genau das funktioniert immer dann am besten, wenn der User Rechte hat, die er gar nicht haben muss. Fazit: Selber schuld.

[MSfree]

...dann kann das eigentlich nicht ohne konkrete Kenntnisse über das Ziel funktionieren. Das heisst, der Angriff muss gezielt sein, der Angreifer muss wissen, dass ich ein Linux betreibe. ...

Es gibt verschiedenen Methoden, das OS und seine Version von aussen festzustellen:

https://de.wikipedia.org/wiki/OS-Fingerprinting

Die Frage war ja nach jpgs, pdf und so....

Schon klar. Natürlich wirst du mit einer manipulierten Datei, die einen Pufferüberlauf auslöst, nicht in jedem Betriebssystem Erfolg haben. Monokulturen wie Windows und Android erleichtern den Angriff aber.

Die Frage bleibt, wenn es kein gezielter Angriff ganz konkret auf meine Maschine ist, woher weiss der Angreifer, welches Werkzeug für den Einbruch überhaupt gebraucht wird? Solche Attacken bleiben doch allesamt nur rein zufälliges rumgestochere im Loch, ohne eine garantierte Aussicht auf Erfolg.

Über Server im Internet sind in der Regel viele Dinge bekannt. Man weiß z.B., welcher Webserver in welcher Version mit welchen angreifbaren Erweiterungen und PHP-Versionen eingesetzt wird. Man kennt den Kernel und seine Revision. Damit kann man dann gezielt auf die Suche nach Angriffswerkzeugen gehen.

wen betriffts also? Natürlich Windows.

Man liest immer wieder von geknackten Systemen. Erst am Freitag wurde bekannt, daß Docker Hub geknackt wurde und 190000 Kundendaten abgezogen wurden. Angriffe werden also oft über Bande gespielt. Man knackt einen "Big Player", beschafft sich Login-Daten und übernimmt in aller Ruhe 190000 Kundeninstanzen, deren Paßwort man sich beschafft hat.

Wem nutzen die?

Irgendwo müssen z.B. die Silkroad-Betreiber ihre Daten ja gehostet haben. Was eignet sich dafür besser als ein gekaperter Server?

Ich habe ohne jeden Zweifel die Überzeugung, dass ein Virenbefall auf unseren Systemen definitiv nicht möglich ist, weil sich kein einziger Anwender Änderungsrechte am System aneignen kann.

Dann solltest du vielleicht hier mal reinschauen:
https://de.wikipedia.org/wiki/Rechteausweitung

Letztlich will ich hier keinem Angst machen. Ich habe zwar schonmal die Übernahme eines von mir betreuten Linuxrechner live miterlebt. Schaden ist dadurch kaum entstanden, ausser ein paar Stunden Dienstausfall. Mir war es eine Lehre, gewisse Dinge besser zu schützen und Linux nicht kathegorisch als sicher zu betrachten. Trotzdem, oder vielleicht gerade deswegen, nutze ich keine Virenscanner, denn vor unbekannten Lücken schützen sie nicht und gegen bekannte Lücken gibt es Softwarepatches.

[TomL]

Es gibt verschiedenen Methoden, das OS und seine Version von aussen festzustellen:
https://de.wikipedia.org/wiki/OS-Fingerprinting

Ja, richtig... aber das bedarf einer vorherigen erfolgreichen Kommunikation, die es bei den oben in meiner Liste enthaltenen IPs aber nicht gibt. Die gelisteten Pakete hatten ja gar nicht erst die Möglichkeit, an einen Fingerprint zu kommen. Und jene Dienste, die das durch Sammeln von Kommunikationsdaten könnten, also irgendwelche Geheimdienste... nun ja, wenn die das täten, dann läge anscheinend bei denen ein konkretes Interesse an mir vor und es wäre tatsächlich ein gezielter Angriff. Aber dann könnte man annehmen, dass bei mir wohl irgendwas in letzter Zukunft verkehrt gelaufen ist. Vermutlich sollte ich mir dann eher noch andere Gedanken und Sorgen machen. Aber wie gesagt, das schließe ich aus.

Schon klar. Natürlich wirst du mit einer manipulierten Datei, die einen Pufferüberlauf auslöst, nicht in jedem Betriebssystem Erfolg haben. Monokulturen wie Windows und Android erleichtern den Angriff aber.

Aber es bleibt trotzdem zufällig.

Über Server im Internet sind in der Regel viele Dinge bekannt. Man weiß z.B., welcher Webserver in welcher Version mit welchen angreifbaren Erweiterungen und PHP-Versionen eingesetzt wird. Man kennt den Kernel und seine Revision. Damit kann man dann gezielt auf die Suche nach Angriffswerkzeugen gehen.

Ja, kein Widerspruch. Aber dann ist es -soweit es meine IP-Liste angeht- nicht mehr zufällig, sondern gezielt. Ich halte diesen unterscheidenden Punkt für sehr wichtig. Denn wiederholte gezielte Angriffe unter Einbeziehung von Erfahrungen und Erkenntnissen über das Zielobjekt sind ne ganz andere Hausnummer. Aber ich speche hier immer mehr oder weniger von privaten PCs und vielleicht privat betriebenen NAS.

Dann solltest du vielleicht hier mal reinschauen:
https://de.wikipedia.org/wiki/Rechteausweitung

Auf keinem unserer Systeme gibts privilegierte Benutzer, also auch keine Unterschiede bei den Rechten der User. Das von irgendwo etwas erschlichen werden kann, ist somit eigentlich ausgeschlossen. Und selbst wenn, dann übernimmt ein rechteloser User lediglich die Rechte eines anderen rechtelosen Users.

Mir war es eine Lehre, gewisse Dinge besser zu schützen und Linux nicht kathegorisch als sicher zu betrachten. Trotzdem, oder vielleicht gerade deswegen, nutze ich keine Virenscanner, denn vor unbekannten Lücken schützen sie nicht und gegen bekannte Lücken gibt es Softwarepatches.

Genau so sehe ich das heute auch. Ich glaube sogar, dass Windows aufgrund des enorm aggressiven Drucks im Windows-Ökosystem ein deutlich besseres Immunsystem als Linux hat. Aber ich bin genauso davon überzeugt, dass ich mit Debian eine Sicherheit herstellen kann, die ich mit Windows mit gleicher Effizienz nicht erreichen kann. Nämlich spätestens an dem Punkt, wo eine propietäre Software Adminrechte verlangt, gebe ich die Kontrolle über mein System faktisch aus der Hand. Virenscanner für Linux täuschen auch meiner Meinung nach nur eine Sicherheit vor, die es hier aber gar nicht gibt... also besser kein Virenscanner.

[uname]

Schon interessant, dass unter Windows der Anwender nicht mit Administrator-Rechten arbeiten soll aber der Virenscanner Administratorrechte benötigt.

[Trollkirsche]

Wie oft kommen solche von dir beschriebenen Attacken im Alltag vor?

Wenn Alltag uns Privat-User und nicht irgendwelche Big-Player-Internet-Dienstleister meint, vermutlich gar nicht, weil Du mit Deinem Browser mit ziemlich großer Wahrscheinlichkeit keine solche subversiven Seiten öffnest, die ein solches Paket versenden könnten und das auch tun. Und alle Seiten, die 'wir' so öffnen... ich schätze, da können wir glauben, dass von da solche Attacke-Pakete nicht passieren. Darüberhinaus kann das auch nicht aus dem Internet initiiert passieren (von den üblichen Port-Checkern), weil das erfordert, dass Du einen Port im DSL-Router geöffnet und auf irgendeine Maschine weitergeleitet hast.

Ich halte das im Moment also für weniger als ein theoretisches Problem. Wäre es ein Problem, hätte man vermutlich öfter und mehr davon gelesen. Und um auf die Eingangsfrage des Threads zurückzukommen.... die Antwort lautet natürlich: Nix! Ich würde allenfalls einen Windows-Scanner installieren, wenn mein Server Ressourcen für Windows-Maschinen zur Verfügung stellen würde. Weil er das aber nicht tut, brauchts imho derzeit auch keine AV-Programme, und unsere Debian-Clients allesamt sowieso nicht.

Hi TomL,

Vielen dank für die Erläuterung.

Frage : Du sagst also die Attacke nur möglich ist, falls ich Port Forwarding vom Host auf das Modem betreibe. Den müsste man jedoch je nach Dienst durchaus öffnen? Wäre dann der Angriff über zb. nmap möglich? Hast du mir da mehr Informationen? Was müsste dann genau gemacht werden, damit man den Kernel damit angreifen kann? Paketgrösse verändern und diese an den Port senden?

[Trollkirsche]

Schon interessant, dass unter Windows der Anwender nicht mit Administrator-Rechten arbeiten soll aber der Virenscanner Administratorrechte benötigt.

Ist nicht schon Windows an sich eine Art "Virus"? Immerhin sendet dieses Stück an Software permanent persönliche Daten irgendwohin...

[Trollkirsche]

Und wie sieht es mit Angriffen über Pdf Jpg Libreoffice etc aus? Wäre doch möglich, durch eine Lücke in libpoppler zB bei Pdf.

Hier würde sich Firejail doch vorzüglich eignen?

[TomL]

[Du sagst also die Attacke nur möglich ist, falls ich Port Forwarding vom Host auf das Modem betreibe.

Nein, umgekehrt.... ein vom Internet kommendes angreifendes Paket kommt im DSL-Router an und der muss es einem Gerät im LAN zustellen. Und diese Zustellung passiert nur, wenn ein Port im DSL-Router geöffnet ist und definiert wurde, an welches spezielle Gerät die Zustellung dieses Pakets erlaubt ist, was alles per default gar nicht der Fall ist. Im DSL-Router ist also eine rudimentäre Firewall installiert, die unautorisierte von außen kommende Pakete von vornherein einfach verwirft.... es sei denn, Du hast an Deinem DSL-Router rumgespielt und was sicherheitstechnisch kaputt gemacht.

[Wäre dann der Angriff über zb. nmap möglich? Hast du mir da mehr Informationen? Was müsste dann genau gemacht werden, damit man den Kernel damit angreifen kann? Paketgrösse verändern und diese an den Port senden?

Ein Angriff aus dem Interent ist erst mal nur auf Deinen DSL-Router möglich. Und wenn der ordentlich eingestellt ist, kommt bei den Clients hinter dessen Router-Firewall gar nix an, also auch nicht im Kernel der installierten Betriebssysteme. Nicht irgendwelche Ports sind das Problem, sondern ein auf diesem Port lauschender schlecht konfigurierter Dienst. Wenn auf einem Port gar kein Dienst lauscht, wird das Paket eh verworfen. Das ist also nicht so, das, wenn der Port 4711 gerade mal nicht die Tür öffnen kann, ein Dienst auf dem Nachbarport 8987 freundlicherweise das Paket annimmt und das es dann dort als Paketbombe explodiert.... so funktioniert das nicht.

Auf einem PC sind sowieso alle eingehenden und ausgehenden Ports per default geöffnet. Aber wie gesagt, damit ist kein Problem verbunden, wenn der PC hinter einem Consumer-Router betrieben wird und weil dem Normalanwender nicht zugemutet werden kann, die für den Betrieb des PC notwendigen Ports explizit zu verwalten. Auf dem DSL-Router sind ausgehend ebenfalls alle Ports aus gleichem Grund geöffnet und eingehend aus Gründen der Sicherheit alle Ports geschlossen...(sollte so sein). Die einzige Ausnahme wäre, wenn Dein DSL-Router Wartungszugänge für Deinen DSL-Provider geöffnet hätte.... sowas wie tr-069. Wenn Du das nicht schließen kannst, dann hast Du eh keine Garantie darüber, wer Dein Netzwerk bzw. Deine Clients noch verwendet.

Hier würde sich Firejail doch vorzüglich eignen?

Wenn ich mal einen ganzen Surfer-Tag protokollieren würde, sinds vermutlich 1000de jpgs und pngs jeden Tag, die beim Surfen übertragen werden. Ich bin zwar schon einigermaßen paranoid, aber so weit für nen Aluhut bin ich noch nicht. Ich nutze Firejail nur in den Ausnahmefällen, wo mein Trackingfilter quasi den Besuch einer bestimmten Seite unmöglich macht. Z.B. wenn ich mal auf Youtube nen Video sehen will. Genau das geht nicht, weil in allen meinen Filtern sämtliche Google-Scripte radikal verboten sind. Und das passiert nicht aus Angst vor Bilderviren, sondern weil ich Spass daran habe, keine Trackingspuren zu hinterlassen.

[DeletedUserReAsG]

Mal so als Einwurf:

Ich halte einen Virenschutz für Linux dennoch für völlig überflüssig. Einfach, weil Viren für Betriebssysteme entwickelt werden, die einen hohen Vebreitungsgrad haben.

Wenn ich Malware schreiben wollte, würde ich die für Linux schreiben. Einfach, weil dort viele User mit der „ach, für mein System wird schon keiner was schreiben“-Mentalität unterwegs sind, und es mit Aktualisierungen, sicheren Konfigurationen sowie sonstigen Sicherheitsvorkehrungen (IDS, MAC, …) im privaten Bereich (auch Root- und vServer) oft nicht soo genau nehmen, oder sich halt nicht so auskennen. Dafür würde ich vielleicht ’n PPA aufmachen und da tolle Software hinterlegen (kann man ja bei OSS problemlos machen), die Installscripte laufen dann schonmal direkt mit UID 0. Und die Leute, die Systeme nutzen, für die PPA meist gedacht sind, hinterfragen sowieso nicht soviel ….

[TomL]

Wenn ich Malware schreiben wollte, würde ich die für Linux schreiben.

Ich auch *lol* weil ich heute weiss, wo ich ansetzen muss...... und ich würds genau so machen, wie Du es beschrieben hast.... mit ordentlich PR für mein eigenes ppa und viel Applaus im Forum (den ich mir mit anderen Nicks selber gebe) *boarisdasfies*

[Trollkirsche]

Wenn ich Malware schreiben wollte, würde ich die für Linux schreiben.

Ich auch *lol* weil ich heute weiss, wo ich ansetzen muss...... und ich würds genau so machen, wie Du es beschrieben hast.... mit ordentlich PR für mein eigenes ppa und viel Applaus im Forum (den ich mir mit anderen Nicks selber gebe) *boarisdasfies*

Nanana, da wird aber die Ubuntu Community keine Freude haben

Wenn ich mal einen ganzen Surfer-Tag protokollieren würde, sinds vermutlich 1000de jpgs und pngs jeden Tag, die beim Surfen übertragen werden. Ich bin zwar schon einigermaßen paranoid, aber so weit für nen Aluhut bin ich noch nicht. Ich nutze Firejail nur in den Ausnahmefällen, wo mein Trackingfilter quasi den Besuch einer bestimmten Seite unmöglich macht. Z.B. wenn ich mal auf Youtube nen Video sehen will. Genau das geht nicht, weil in allen meinen Filtern sämtliche Google-Scripte radikal verboten sind. Und das passiert nicht aus Angst vor Bilderviren, sondern weil ich Spass daran habe, keine Trackingspuren zu hinterlassen.

Das versteh ich jetzt nicht.. Wie kann dir Firejail helfen, youtube Videos anzusehen obwohl du alle Scripte auf Misstrauen hast? (ich nehme mal an du nutzt noscript)

Noch eine Frage : Weiter oben schreibst du, dass die grösste Gefahr von Usern ausgeht, die Admin rechte haben. Das leuchtet ein. Wäre es in dem Falle auch besser auf den Eintrag per visudo zu verzichten, auch wenn ich der einzige User im System wäre? Das würde ja immer noch erfordern, dass man an das vergebene Passwort käme. Wie sehen hier die Angriffsszenarien aus?

[Trollkirsche]

Auf Wikipedia, bezüglich des TR-069 Protokolls:

Zudem ermöglicht es TR-069 auch andere Geräte zu konfigurieren, die sich im „sicheren Bereich“ hinter der Box oder dem Modem befinden, also hinter der Firewall.

Quelle : https://de.wikipedia.org/wiki/TR-069

Wie soll das gehen, wenn auf der Firewall der eingehende Traffic geschlossen wurde? Was kann man gegen solche Art von Angriffen unternehmen?

[TomL]

Nanana, da wird aber die Ubuntu Community keine Freude haben

Die halten sudo für ein Sicherheits-Feature, obwohl dort bekannt ist, dass es nicht dem eigentlichen Zweck entsprechend verwendet wird.... soll'n se machen.

Das versteh ich jetzt nicht.. Wie kann dir Firejail helfen, youtube Videos anzusehen obwohl du alle Scripte auf Misstrauen hast? (ich nehme mal an du nutzt noscript)

Nein, ich nutze kein NoScript, ich persönlich halte uBlock Origin für das NonPlus-Ultra. Das ist ein sehr radikaler Script-Blocker, der zudem auch Ad-Block kann. Aber das ist vermutlich auch Geschmacksache, was man da nutzt. Gesurft wird von mir eigentlich nur in einer isolierten VM-Bucht und Palemoon ist das Surfbrett... und für dessen uBlock Origin verwende ich keine fertigen Filter, sondern ich habe generell einfach alles verboten. Über Wochen und Monate habe ich UO dann an meine Gewohnheiten langsam angepasst, so das mein regelmäßiges Surfen nun funktioniert. In diesem Aspekt sind allerdings Google und alle anderen Datenkraken immer noch radikal blockiert. Und für solche seltenen Fälle öffne ich in der VM dann einen sonst nicht genutzten Firefox mit Firejail in einer jeweils privaten Neu-Sitzung ohne Filter.... also in einer Sitzung, in der sich nix gemerkt wird. Mein persönliches Browserprofil in meinem Homdir "thomas" auf meiner eigenen Hardware mit Debian Buster wird zum Surfen überhaupt nicht verwendet.

Noch eine Frage : Weiter oben schreibst du, dass die grösste Gefahr von Usern ausgeht, die Admin rechte haben. Das leuchtet ein. Wäre es in dem Falle auch besser auf den Eintrag per visudo zu verzichten, auch wenn ich der einzige User im System wäre? Das würde ja immer noch erfordern, dass man an das vergebene Passwort käme. Wie sehen hier die Angriffsszenarien aus?

Es braucht immer nur einen einzigen User, der angemeldet ist und gelegentlich ein sudo-Statement absetzt.... das reicht völlig aus, wenn Dein PC vor-kompromittiert wurde, um ihn dann endgültig zu übernehmen.

Wie soll das gehen, wenn auf der Firewall der eingehende Traffic geschlossen wurde? Was kann man gegen solche Art von Angriffen unternehmen?

Es gibt Provider, die lassen es gar nicht zu, dass Kunden den schließen können. Einen solchen Router würde ich nicht verwenden. Ich schick dir mal nen Link zu.

[mat6937]

Ja, richtig... aber das bedarf einer vorherigen erfolgreichen Kommunikation, die es bei den oben in meiner Liste enthaltenen IPs aber nicht gibt. Die gelisteten Pakete hatten ja gar nicht erst die Möglichkeit, an einen Fingerprint zu kommen.

Was genau meinst Du mit "erfolgreichen Kommunikation"? Wenn die IP-Adressen geblacklistet sind, ist das klar.
Aber wenn das nicht der Fall ist bzw. bis das der Fall ist, wie verhinderst Du, dass ausgehender Traffic (als Antwort) nicht an die "anfragende" IP-Adresse geht?

EDIT:

Z. B., kannst Du solche Antworten:

Code: Alles auswählen

2x3.xx.xx.x:22 SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.8
1x4.xx.xx.xx5:22 SSH-2.0-OpenSSH_7.4p1 Debian-10+deb9u6

, aus denen das OS und die sshd-Version abgeleitet werden kann, _verhindern_ bzw. nicht zulassen, wenn die IP-Adresse noch nicht geblacklistet ist?

EDIT 2:

BTW: Bei FreeBSD ist die Antwort etwas unspezifischer:

Code: Alles auswählen

47.xxx.xxx.x7:22 SSH-2.0-OpenSSH_7.8

EDIT 3:

Man kann es u. a. auch verhindern, durch patchen und selber kompilieren.

[debianoli]

Und wie sieht es mit Angriffen über Pdf Jpg Libreoffice etc aus? Wäre doch möglich, durch eine Lücke in libpoppler zB bei Pdf.

Natürlich könnte ein Angreifer versuchen, eine Linuxkiste zu übernehmen, indem er Lücken in Programmen und Bibliotheken nutzt. Sicherer als Windows ist ein Linxrechner hier jedenfalls nicht.

Die Frage war ja nach jpgs, pdf und so.... ich denke, es gibt da nicht sowas wie 'multiresistente' Viren in einem jpg oder pdf, die gleichermaßen auf einem Android, Apple, Linux oder Windows funktionieren können. Wie soll das denn gehen? Selbst wenn ein unentdeckter Exploit in einer Standard-pdf-format-Lib enthalten wäre, so sind doch deren Lib-Adressen auf den Betriebsystemen völlig unterschiedlich und so haben die Programme dann auch völlig unterschiedliche Ausführungsrechte auf den Geräten. Wer will denn vorhersagen, welches jpg und welche pdf auf welchem Betriebssystem und mit welchem Viewer geöffnet wird und ob überhaupt. Die Frage bleibt, wenn es kein gezielter Angriff ganz konkret auf meine Maschine ist, woher weiss der Angreifer, welches Werkzeug für den Einbruch überhaupt gebraucht wird? Solche Attacken bleiben doch allesamt nur rein zufälliges rumgestochere im Loch, ohne eine garantierte Aussicht auf Erfolg. Für mich ist das eher so wie bei den Schimpansen, wenn sie mit 'nem Stock in tiefen Löchern nach Ameisen fischen.... nur wo sehr viele Ameisen sitzen, bleibe vielleicht einige wenige zufällig hängen... wenn betriffts also? Natürlich Windows.

Und warum sollte das jetzt nicht passieren? Gerade wenn man einen Rechner beruflich nutzt, hat man ständig mit allen möglichen Dateien zu tun, die man von Geschäftspartnern geschickt bekommt. Oder man erhält Rechnungen etc. von vermeintlichen Dienstleistern (gefälschte Email von Paypal, Amazon o.ä.), die in Wahrheit einen Virus enthalten. Klar, das Ding muss gut gemacht sein, doch die Möglichkeit besteht. Und falls das dann wirklich gut gemacht ist, hast du dann zwar kein infiziertes GESAMT-System, aber am Ende ein verschlüsseltes $User-Home. Und das kann sehr viel schlimmer sein, denn dort sind wichtige Geschäftsdaten. Die bei Pech eben nicht in einem Backup stecken.

[uname]

Und warum sollte das jetzt nicht passieren? Gerade wenn man einen Rechner beruflich nutzt, hat man ständig mit allen möglichen Dateien zu tun, die man von Geschäftspartnern geschickt bekommt. Oder man erhält Rechnungen etc. von vermeintlichen Dienstleistern (gefälschte Email von Paypal, Amazon o.ä.), die in Wahrheit einen Virus enthalten. Klar, das Ding muss gut gemacht sein, doch die Möglichkeit besteht. Und falls das dann wirklich gut gemacht ist, hast du dann zwar kein infiziertes GESAMT-System, aber am Ende ein verschlüsseltes $User-Home. Und das kann sehr viel schlimmer sein, denn dort sind wichtige Geschäftsdaten. Die bei Pech eben nicht in einem Backup stecken.

Ich nutze nun schon seit mehr als 20 Jahren Linux. Ich habe noch nie einen Dateianhang erhalten, der z. B. ein Linux-Binary oder ein Shellscript enthalten hatte, welches ich downloaden musste, ausführbar gemacht hätte um es dann auszuführen. Das passiert einfach nicht. Unter Linux funtkionieren Angriffe ganz anders. Das größte Risiko für Linux ist wohl eher der Virenscanner selbst, der einem das System zerlegt. Und natürlich benötigt man aus vielen Gründen ein aktuelles Backup. Jede Hardware inkl. Festplatte oder SSD kann versagen ... vielleicht genau jetzt. Im übrigen würde ich unter Windows auch nur den Microsoft Defender verwenden und vielleicht zusätzlich mein Gehirn einschalten. Nicht-IT-erfahrenen Menschen empfehle ich daher Linux oder ein tägliches, inkrementelles Backup.

Falls jemand Linux-Schadcode kennt kann er oder sie ja mal ein paar Links hier posten oder mir eine PN schicken.

[debianoli]

Ich nutze nun schon seit mehr als 20 Jahren Linux. Ich habe noch nie einen Dateianhang erhalten, der z. B. ein Linux-Binary oder ein Shellscript enthalten hatte, welches ich downloaden musste, ausführbar gemacht hätte um es dann auszuführen. Das passiert einfach nicht.

Von dieser Art Angriffen habe ich doch gar nicht angesprochen.

Es geht um Programm zum Darstellen von Bildern, PDF etc. und dafür bekommt sehr oft Dateien als E-Mail-Anhang. Was auch logisch ist.

Und es gibt eben auch Schwachstellen wie diese im Bereich PNG-Grafiken als Beispiel: "... if a malformed image is processed." https://www.debian.org/security/2019/dsa-4435

Eine Absicherung von bestimmten Programmen macht da schon Sinn, etwa durch das bereits erwähnte firejail . Auch Thunderbird und die Browser sind Kandidaten für Angriffe. Nur weil Debian & Co nicht die Verbreitung wie Windows haben, macht es das doch nicht automatisch sicherer.

[uname]

Das mit firejail mag stimmen auch wenn ich es nicht einsetze. Auch ist es sehr wichtig alle installierten Pakete aktuell zu halten. Aber traditionelle Virenscanner braucht man unter Linux nicht.

[TomL]

Ja, richtig... aber das bedarf einer vorherigen erfolgreichen Kommunikation, die es bei den oben in meiner Liste enthaltenen IPs aber nicht gibt. Die gelisteten Pakete hatten ja gar nicht erst die Möglichkeit, an einen Fingerprint zu kommen.

Was genau meinst Du mit "erfolgreichen Kommunikation"? Wenn die IP-Adressen geblacklistet sind, ist das klar.

Es kann gut möglich sein, dass ich die Wirkungsweise meines Paketfilters falsch verstanden habe, aber bis jetzt wurde meiner Interpretation noch nicht widersprochen. Es geht ja um die von msfree genannte Wiki-Seite zum OS-fingerprinting..... und dabei es ist ja nun mal so, dass das mitunter dutzende von gesendeten Paketen erfordert, um aus deren Antworten dann entsprechende Ableitungen zu treffen oder Ableitungen zu ermöglichen. Aber genau das ist nach meiner Interpretation meines Paketfilters bei mir nicht möglich. Eine bestimmte IP-Adresse hat innerhalb 1 Minute genau 1 einzigen Versuch über ein Paket mit CT-State New (Syn-Flag) eine Verbindung zu etablieren (CT-State Established). Kommt in der gleichen Minute das 2. Paket ist und es ist nicht established, ist diese IP vorübergehend für 60 Minuten gesperrt - also quasi temporär geblacklistet. Jedes weitere Paket danach mit "irgendwas" von dieser IP wird dann gnadenlos gedropt, was bei mir dann so aussieht.

Code: Alles auswählen

Apr 28 03:39:06 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:07 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:09 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:11 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:12 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:14 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:16 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:17 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:19 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:21 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:22 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 
Apr 28 03:39:24 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=106.75.63.218 

Allerdings muss ich darauf hinweisen, dass bei mir kein Web-Server läuft, wahrscheinlich gelten dabei auch völlig andere Regeln... ich glaube msfree hat irgendwo oberhalb schon darauf hingewiesen oder was erwähnt. Aber weil ich mir selber die Kontrolle eines vom Internet zugänglichen Webservers gar nicht zutraue, also konkret bestätigt zu garantieren, dass er nur (wie von mir festgelegt (!)) bestimmungsgemäß genutzt wird, verzichte ich lieber auf einen echten Web-Server und betreibe nur Dienste, die ich im Griff habe.

Meine besondere Konfiguration ist ja ein VPN-Server auf Port 443, und genau der ist auch über das Web erreichbar. Mittlerweile nutze ich seit gut 1/2 Jahr nftables .... und nftables ersetzt m.M.n. mit geradezu brachialer Effektivität fail2ban. Für mich ist failtoban damit regelrecht zu Code-Schrott geworden, ganz ähnlich wie zuvor auch schon sysvinit mit den log-levels, oder rsyslog und dmesg, oder auch sudo..... ... also, wie gesagt, ich glaube momentan, dass mehrere aufeinander folgenden Pakete einer aggressiven IP bei mir nicht möglich sind, weil eine IP genau einen einzigen Versuch (syn-flag) hat, eine Verbindung zu etablieren. Und somit kann sie auch keine Kommunikation erzwingen, die bei Fehlschlag des 1. Paketes erfolgt. Und alles andere, was kein syn-flag ist oder nicht established ist, wird eh verworfen. Das bedeutet, die Pakete werden schon verworfen, bevor sie überhaupt bei irgendeinem regulären Service ankommen können, der irgendwas beantworten würde.

Z. B., kannst Du solche Antworten:

Code: Alles auswählen

2x3.xx.xx.x:22 SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.8
1x4.xx.xx.xx5:22 SSH-2.0-OpenSSH_7.4p1 Debian-10+deb9u6

, aus denen das OS und die sshd-Version abgeleitet werden kann, _verhindern_ bzw. nicht zulassen, wenn die IP-Adresse noch nicht geblacklistet ist?

Ja, genau so interpretiere ich meinen Paketfilter, weil mein Paketfilter selber hochdynamisch und kompromisslos ad hoc und just-in-time (!) blacklistet, also genau dann, wenn es notwendig ist.... nach meiner Vorgabe aber temporär nur für 60 Minuten. Darüber hinaus ist natürlich auch eine statische Blacklist enthalten.

[OrangeJuice]

Kann man Firejail auch unter Gnome mit Wayland verwenden? Ist doch etwas für X11 gewesen oder?

[mat6937]

Ja, genau so interpretiere ich meinen Paketfilter, weil mein Paketfilter selber hochdynamisch und kompromisslos ad hoc und just-in-time (!) blacklistet, also genau dann, wenn es notwendig ist.... ...

Das Scannen mit scanssh ist aber kein missglückter Anmeldeversuch und auch kein Portscan wie mit nmap (oder gleichwertig). Evtl. ist das für den sshd ein "friendly scan" und es soll auch einen Eintrag in die Log-Datei des Servers zur Folge haben:

At the moment, scanssh leaves a one line entry in the log file of the ssh server. It is probably not possible to avoid that.

manpage scanssh