Vernünftiger Virenscanner für Linux?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
desputin
Beiträge: 1274
Registriert: 24.04.2015 17:16:34

Vernünftiger Virenscanner für Linux?

Beitrag von desputin » 16.04.2022 00:23:07

Hallo Ihr,

gibt es neben ClamAV auch einen vernünftigen Virenscanner für Linux, der besser funktioniert? Oder taugt ClamAV was? Ich hatte immer den Eindruck bisher, daß das Teil eher ein Serverprogramm und weniger ein Desktop-Programm ist..... Was meint Ihr?

viele Grüße desputin
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Vernünftiger Virenscanner für Linux?

Beitrag von TRex » 16.04.2022 00:41:07

Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Benutzeravatar
desputin
Beiträge: 1274
Registriert: 24.04.2015 17:16:34

Re: Vernünftiger Virenscanner für Linux?

Beitrag von desputin » 16.04.2022 00:50:47

Ok danke. Gibt es da irgendwelche Backports, oder kann ich davon ausgehen, daß ClamAV aus Debian-Stable hinreichend aktuell ist?
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Vernünftiger Virenscanner für Linux?

Beitrag von TRex » 16.04.2022 01:05:42

https://wiki.debian.org/ClamAV

Signaturquellen konfigurieren sollte ausreichen.

btw, du wirst die Frage vielleicht kommen gesehen haben, aber du weißt schon, dass die meisten Viren nicht für dein OS geschrieben werden?
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Vernünftiger Virenscanner für Linux?

Beitrag von uname » 19.04.2022 08:29:45

@desputin
Ich denke unter Linux findest du vor allen Windows-Viren. Falls du das als die Aufgabe deines Linux siehst, dann ist es ja ok. Durch die Verwendung der Paketverwaltung (neudeutsch App-Store) sollte die Linux-Software ausreichend geprüft sein. Da findet ein Linux-Virenscanner nicht viel. Es gibt weit bessere Sicherheitsvorkehrungen als ein Viren-Scanner ... z. B. ein tägliches, inkrementelles Backup.

Aber selbst bei Windows würde ich nicht mehr auf kommerzielle Virenscanner setzen. Einfach die Sicherheitsfunktionen von Microsoft aktivieren und gut ist es. Warum soll noch eine Anwendung mit Administrator-Rechten alle Dateien durchsuchen dürfen? Die Rechte gibt sich der Anwender ja nicht mal selbst.

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Vernünftiger Virenscanner für Linux?

Beitrag von reox » 19.04.2022 15:33:02

desputin hat geschrieben: ↑ zum Beitrag ↑
16.04.2022 00:23:07
der besser funktioniert
Besser ist subjektiv und die Frage ist "besser in wie fern"? Welche quantitativen Maßstäbe hast du?
In der AV Industrie gibt es ein paar Labore die da Kennzahlen liefern - zB Anzahl an Viren gefunden, Anzahl an Fehlalarmen, Geschwindigkeit beim Scannen, Einschränkungen vom System durch den Scan, ...
Allerdings sind das auch immer nur Momentaufnahmen und ein Scanner kann bei dem Test Glück haben und dann trittst du dir trotzdem was ein oder aber anders herum, der Scanner schneidet beim Test schlecht ab aber das was du finden willst, findet der auch. In der Branche wird ja immer noch recht viel geteilt und die meisten Scanner finden ein ähnliches Set an Samples (und ähnliche FPs...). Manche zeichnen sich durch besonders tolle Heuristiken aus, die aber ggf auch besonders tolle Fehlalarme produziern ;)

Es gibt auch ein paar komerzielle Scanner für Linux - wobei sich das immer weiter dezimiert. Dabei liefern dir manche Hersteller eine komplette Datenbank - auch für Windows Malware - mit und andere schmeißen das raus. dH je nach dem was du erkennen willst, solltest du schauen was der Hersteller dir liefert. Allerdings sind die meisten glaube ich eher keine "Desktop Software" sondern dafür gedacht auf einem Mailserver oder Fileserver zu laufen - was dich aber nicht hindert sie auch auf einem Desktop zu verwenden, nur haben die meist kein clickybunti-gui sondern nur einen cmdline scanner oder einen Dienst der files annimmt.

Benutzeravatar
desputin
Beiträge: 1274
Registriert: 24.04.2015 17:16:34

Re: Vernünftiger Virenscanner für Linux?

Beitrag von desputin » 19.04.2022 20:02:26

Hallo Ihr,
ich hatte neulich ein Video gesehen, wo einer demonstriert hat, daß auch ein Windows-Verschlüselungstrojaner über Wine sein home verschlüsselt hat...

Wegen der GUI von ClamAV / ClamTK: Ich finde, die GUI wirkt veraltet. Wenn ich außerdem Ordner angebe, die zu scannen sind, steht da manchmal "10 Dateien gescannt", obwohl in dem Ordner 100.000 liegen. Ich vermute, das Teil arbeitet nicht rekursiv. Was soll sowas?

Auch die Update-Funktion scheint mir nicht richtig zu funktionieren unter Debian stable. Da steht zwar "Updates verfügbar", aber ich kriege keine Meldung wie "Update erfolgreich", wenn ich das anwerfe...
Für mich wirkt das Programm einfach schlecht, aber vielleicht ist ja der Anwender Schuld?

Viele Grüße desputin
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Vernünftiger Virenscanner für Linux?

Beitrag von reox » 19.04.2022 20:54:01

desputin hat geschrieben: ↑ zum Beitrag ↑
19.04.2022 20:02:26
Wegen der GUI von ClamAV / ClamTK: Ich finde, die GUI wirkt veraltet. Wenn ich außerdem Ordner angebe, die zu scannen sind, steht da manchmal "10 Dateien gescannt", obwohl in dem Ordner 100.000 liegen. Ich vermute, das Teil arbeitet nicht rekursiv. Was soll sowas?
ohne ClamTK jemals offen gehabt zu haben: Die Hilfe sagt, man muss rekursiv extra einschalten und auch wenn man möchte, dass Dateien >20MB gescannt werden muss man das aktivieren. Wenns dir nur um ein GUI geht scheint es nicht viel Auswahl zu geben.

DeletedUserReAsG

Re: Vernünftiger Virenscanner für Linux?

Beitrag von DeletedUserReAsG » 19.04.2022 21:16:51

desputin hat geschrieben: ↑ zum Beitrag ↑
19.04.2022 20:02:26
Ich finde, die GUI wirkt veraltet.
Interessantes Kriterium beim Aussuchen einer Software. Kein Wunder, dass sich dieser Electron-Bloat wie die Seuche verbreitet: es sieht „modern“ aus. Dass die Funktion der Software oft nah an „nicht gegeben“, das Programm aber trotzdem über 100MB groß ist – ist doch egal. Hauptsache, das UI ist animiert …

Und wer sein System derart offen hat, dass irgendwelche Software von außen Wine starten, und dann im ~/ rumpfuschen kann, dem hilft auch kein Schlangenöl – im Gegenteil: dann kann jedes popelige Script das Gleiche tun. Ohne Wine, und ohne dass irgendein Schlangenöl reagieren würde.

Benutzeravatar
desputin
Beiträge: 1274
Registriert: 24.04.2015 17:16:34

Re: Vernünftiger Virenscanner für Linux?

Beitrag von desputin » 21.04.2022 01:01:37

Ah, rekursiv muß man wirklich erst einschalten. Absurd, aber gut, jetzt geht es.

Na ja, wine ist ja bei vielen Distros schon dabei. Keine Ahnung, wie man das absichern soll. Der hier hat jedenfalls den Test durchgeführt:
https://www.youtube.com/watch?v=37BUwFH_yKI
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |

Benutzeravatar
GregorS
Beiträge: 2518
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Vernünftiger Virenscanner für Linux?

Beitrag von GregorS » 21.04.2022 02:18:45

niemand hat geschrieben: ↑ zum Beitrag ↑
19.04.2022 21:16:51
desputin hat geschrieben: ↑ zum Beitrag ↑
19.04.2022 20:02:26
Ich finde, die GUI wirkt veraltet.
Interessantes Kriterium beim Aussuchen einer Software.
Zeig doch bitte mal, wo desputin sagte, das er die Software anhand dieses Kriteriums ausgesucht hat.

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Vernünftiger Virenscanner für Linux?

Beitrag von reox » 21.04.2022 07:43:16

desputin hat geschrieben: ↑ zum Beitrag ↑
21.04.2022 01:01:37
Na ja, wine ist ja bei vielen Distros schon dabei. Keine Ahnung, wie man das absichern soll. Der hier hat jedenfalls den Test durchgeführt:
https://www.youtube.com/watch?v=37BUwFH_yKI
:D Das Video ist super, vor allem weil er dann auch wirklich einen Bugreport erstellt hat: https://bugs.winehq.org/show_bug.cgi?id=49024
Ich geb da aber den Wine Leuten Recht, dass das kein Bug ist.

Wenn man solche Angriffe verhindern will, dann muss man aber im Endeffekt in die Prozesserstellung hooken oder syscalls abfangen. Die Binaries sind einfach zu divers - soll heißen, der ClamAV wird vmtl die binaries nie erkennen und zur runtime erwischt man sie nicht, weil es das nicht gibt (oder doch? Wäre spannend es sowas wie Verhaltensanalyse auch unter Linux gibt)

katzenfan
Beiträge: 563
Registriert: 19.04.2008 22:59:51

Re: Vernünftiger Virenscanner für Linux?

Beitrag von katzenfan » 21.04.2022 17:05:30

desputin hat geschrieben: ↑ zum Beitrag ↑
21.04.2022 01:01:37
Na ja, wine ist ja bei vielen Distros schon dabei.
Wird doch aber sicherlich nicht automatisch installiert? Eine Linux-Distri, die Wine ungefragt installiert, bzw. zwangsinstalliert, käme hier nicht ins Haus.

DeletedUserReAsG

Re: Vernünftiger Virenscanner für Linux?

Beitrag von DeletedUserReAsG » 21.04.2022 17:48:14

GregorS hat geschrieben: ↑ zum Beitrag ↑
21.04.2022 02:18:45
Zeig doch bitte mal, wo desputin sagte, das er die Software anhand dieses Kriteriums ausgesucht hat.
Ich hab’s doch bereits zitiert? Es war Teil der Begründung, warum ihm ClamAV nicht gefällt, und er etwas Anderes sucht.
reox hat geschrieben: ↑ zum Beitrag ↑
21.04.2022 07:43:16
Wenn man solche Angriffe verhindern will, dann muss man aber im Endeffekt in die Prozesserstellung hooken oder syscalls abfangen.
Oder man chrootet das Ding einfach, bzw. steckt es in einen Container, wie man’s mit der üblicherweise unter Wine laufenden Software sowieso machen sollte, weil es meist keine offene Software ist, und man dem Hersteller in der Regel ungerne vollen Zugriff auf seine Daten einräumt.
desputin hat geschrieben: ↑ zum Beitrag ↑
21.04.2022 01:01:37
Der hier hat jedenfalls den Test durchgeführt:
https://www.youtube.com/watch?v=37BUwFH_yKI
Ja, nix für ungut – aber der Test hätte mit jedem popeligen Shellscript ebenso funktioniert. Da kommt auch irgendwie keiner auf die Idee, einen Bugreport für die Shell zu erstellen … weil’s Unsinn ist.

Benutzeravatar
GregorS
Beiträge: 2518
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Vernünftiger Virenscanner für Linux?

Beitrag von GregorS » 21.04.2022 18:59:18

niemand hat geschrieben: ↑ zum Beitrag ↑
21.04.2022 17:48:14
GregorS hat geschrieben: ↑ zum Beitrag ↑
21.04.2022 02:18:45
Zeig doch bitte mal, wo desputin sagte, das er die Software anhand dieses Kriteriums ausgesucht hat.
Ich hab’s doch bereits zitiert? Es war Teil der Begründung, warum ihm ClamAV nicht gefällt, und er etwas Anderes sucht.
Nein, er schreibt, dass die Oberfläche veraltet wirkt. Ein Auswahlkriterium (oder das Gegenteil) war's kaum.

Gruß

Gregor
Zuletzt geändert von JTH am 21.04.2022 22:08:54, insgesamt 1-mal geändert.
Grund: [quote] repariert. Guck dir deinen Beitrag doch bitte in der Vorschau oder nach dem Absenden an.
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

Benutzeravatar
desputin
Beiträge: 1274
Registriert: 24.04.2015 17:16:34

Re: Vernünftiger Virenscanner für Linux?

Beitrag von desputin » 24.04.2022 16:08:44

Ok, clamTK funktioniert, aber die Kritikpunkte bleiben:

1. Man kann kein Log abspeichern mit den Viren/Trojanern, die er gefunden hat. Workaround: Ich nehme ein Bildschirmvideo auf und scrolle runter in der Liste. --> schlechte GUI

2. Das mit standardmäßig nicht rekursiv durchsuchen ist für einen Virenscanner lächerlich

3. Die Update-Funktion scheint nicht richtig zu funktionieren. Jedenfalls bei meiner Debian stable Version. Mein meinem Mint-PC geht es.
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Vernünftiger Virenscanner für Linux?

Beitrag von uname » 25.04.2022 11:06:47

Magst du mal sagen, warum du überhaupt einen Virenscanner willst? Unter Linux rate ich von Virenscannern ab, da sie ein Sicherheitsrisiko darstellen. Bei Windows mag die Gefahr dem Nutzen ja noch etwas entsprechen. Aber auch dort rate ich allen Bekannten nur den Windows-Scanner zu verwenden. Besser als Virenscanner ist der korrekte Umgang mit dem System (Schulung). Falls du damit Windows-Systeme schützen willst: Gegen Ransomware bzw. Festplattenverschlüsselung helfen nur tägliche Backups. Investiere deine Zeit in die Richtung. Stelle sicher, dass du im Notfall alles wiederherstellen kannst. Dann und nur dann bist du auf der sicheren Seite.

Antworten