Linux 15.026 Themen, 107.016 Beiträge

Woran erkennt man, dass man 0wn3d ist

torsten40 / 26 Antworten / Baumansicht Nickles

Klar, hack unter Linux gibs nicht - täum weiter-

woran kann ich unter Linux erkennen, ob ich schadesoftware installiert habe?

Der Taskmanger ist (meiner Meinung nach) ziemlich nichts aussagend. Doch woran erkenn man, ob man ein versuechtes Linux hat?

Danke

Freigeist
bei Antwort benachrichtigen
Maybe torsten40 „Woran erkennt man, dass man 0wn3d ist“
Optionen

Moin,

welche Distri ist das genau?

Wenn es eine Debian-basierte-Distri ist, gib mal in der Konsole "top" oder "htop" ein, das ist schon aussagekräftiger.

Natürlich ist Linux nicht unangreifbar. Die Angriffe finden aber wohl eher selten auf Anwendungsebene statt, sonder eher auf Systemebene. Und wenn man die Anwendungen über die Softwareverwaltung, apt-get, dem Paketmanager oder Synaptic installiert, ist man da auf der "sicheren Seite".

In Kmail kann man z.B. den ClamAV einbinden, um Emails zu checken (nach Windows-Malware).

sudo apt-get install clamav

Jemand der die Fähigkeiten und die Kenntnisse hat, in eine Linux-System einzudringen, den werden wir auch nicht so einfach aufspüren können.

Du könntest einen Netzwerkmonitor wie z.B. Wireshark installieren, um den Netzwerkverkehr zu analysieren. Das setzt aber nicht wenige Kenntnisse in der Netzwerktechnik voraus, um die Daten interpretieren zu können.

Unter Debian/Ubuntu

sudo apt-get install wireshark

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
torsten40 Maybe „Moin, welche Distri ist das genau? Wenn es eine ...“
Optionen
"top" oder "htop"

ich schaue mir die Prozesse, wenn ich den alle sehen will unter "ps aux" an.

Du könntest einen Netzwerkmonitor wie z.B. Wireshark installieren, um den Netzwerkverkehr zu analysieren. Das setzt aber nicht wenige Kenntnisse in der Netzwerktechnik voraus, um die Daten interpretieren zu können.

Das natürlich eine gute Idee. Vielleicht war ich gestern etwas zu mißtrauisch :)

Freigeist
bei Antwort benachrichtigen
Borlander Maybe „Moin, welche Distri ist das genau? Wenn es eine ...“
Optionen
Wenn es eine Debian-basierte-Distri ist, gib mal in der Konsole "top" oder "htop" ein, das ist schon aussagekräftiger.

In der Praxis musst Du davon ausgehen, dass diese Tools durch manipulierte Versionen ersetzt wurden die Schadprozesse nicht mit anzeigen. D.h.: Auf Basis der Standardtools wirst Du eher nichts verdächtiges zu sehen bekommen…

Gruß
bor

bei Antwort benachrichtigen
neanderix Maybe „Moin, welche Distri ist das genau? Wenn es eine ...“
Optionen

Von ClamAV rte ich ab -  der produziert einfach zu viele False Positives

Computers are like airconditioners - they stop working properly when you open Windows Ich bin unschuldig, ich habe sie nicht gewählt!
bei Antwort benachrichtigen
Maybe neanderix „Von ClamAV rte ich ab - der produziert einfach zu viele ...“
Optionen
Von ClamAV rte ich ab -  der produziert einfach zu viele False Positives

Und was wäre eine kostenlose Alternative? Ich nutze Clam nur zum Eingangcheck der Emails in Kmail.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
Acader torsten40 „Woran erkennt man, dass man 0wn3d ist“
Optionen
Woran erkennt man, dass man 0wn3d ist

Diese Frage stellt sich doch unter Linux gar nicht.

woran kann ich unter Linux erkennen, ob ich schadesoftware installiert habe?

Dann erkläre uns erst einmal wie du unter Linux überhaupt Schadsoftware installieren willst. Die aus den Distri-Paketquellen ist geprüfte Software und wird zusätzlich verwaltet von Paketbetreuern. Fremdsoftware hingegen installiert man nur von vertrauten Quellen.

Wie soll dann Schadsoftware in das System gelangen?

Auf deine Antwort bin nicht nur ich gespannt.

MfG Acader

bei Antwort benachrichtigen
torsten40 Acader „Diese Frage stellt sich doch unter Linux gar nicht. Dann ...“
Optionen

Mein Verdacht kommt nicht ungefähr. Ich glaube zwar nicht, dass mein System verseucht ist, doch irgendwas stimmt schon wieder nicht.

Ich habe die Packetquellen in ruhe gelassen, weder was hinzu gefügt, noch etwas entfernt. Auch habe ich apt update && upgrade gemacht.

Aber wenn ich z.B etwas über Synaptic installieren will, dann heisst in einigen Fällen, die Datei konnte nicht gefunden werden. Nach einiger Suche auf den Debianservern, war die Datei tatsächlich nicht mehr da, sondern schon durch eine neuere ersetzt wurden.

In letzter Zeit passiert das halt immer häufiger, und es kann ja sein, dass dann mit dem System etwas nicht stimmt.

Danke

Freigeist
bei Antwort benachrichtigen
Borlander torsten40 „Mein Verdacht kommt nicht ungefähr. Ich glaube zwar nicht, ...“
Optionen
Aber wenn ich z.B etwas über Synaptic installieren will, dann heisst in einigen Fällen, die Datei konnte nicht gefunden werden. Nach einiger Suche auf den Debianservern, war die Datei tatsächlich nicht mehr da, sondern schon durch eine neuere ersetzt wurden.

Dann würde ich aber erst mal auf eine Kaputte Paketkonfiguration tippen. Hast Du zwischenzeitlich mal bestimmte Versionen eines Paketes erzwungen, oder z.B. Pakete aus neueren Debian-Versionen installiert? Das kann zu unschönen Nebeneffekten in der Paketverwaltung führen.

Auf Desktop-Systemen die nicht direkt (direkt = ohne NAT-Routing, oder ggf. über Portweiterleitungen) über das Internet angebunden sind ist das Risiko von Schadsoftware im System zumindest deutlich geringer als bei Servern die dauerhaft von außen im Internet erreichbar sind.

bei Antwort benachrichtigen
torsten40 Borlander „Dann würde ich aber erst mal auf eine Kaputte ...“
Optionen
r z.B. Pakete aus neueren Debian-Versionen installiert? Das kann zu unschönen Nebeneffekten in der Paketverwaltung führen.

Eigendlich nicht, ausser Steam, was ich manuell installiert habe.

Ich habe Debian Jessi/sid

uname -a:

3.14-2-amd64 #1 SMP Debian 3.14.15-2 (2014-08-09) x86_64 GNU/Linux

cat /proc/version:

3.14-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.3 (Debian 4.8.3-7) ) #1 SMP Debian 3.14.15-2 (2014-08-09)

cat /etc/issue:

Debian GNU/Linux jessie/sid \n \l

---

Ich lasse jetztmal aptitude upgrade laufen, da das letzte Upgrade doch schon einige Zeit her ist.

Danke

Freigeist
bei Antwort benachrichtigen
Acader torsten40 „Eigendlich nicht, ausser Steam, was ich manuell installiert ...“
Optionen
Ich habe Debian Jessi/sid

Du weißt aber schon was es damit auf sich hat?

Solltest du daher eher nur auf einem extra Testrechner nutzen.

Nach einiger Suche auf den Debianservern, war die Datei tatsächlich nicht mehr da, sondern schon durch eine neuere ersetzt wurden. In letzter Zeit passiert das halt immer häufiger, und es kann ja sein, dass dann mit dem System etwas nicht stimmt.

Das ist doch bei Debian unstable normal.

ausser Steam, was ich manuell installiert habe

Und warum nimmste da nicht zumindest Debian/Testing?

MfG Acader

bei Antwort benachrichtigen
the_mic torsten40 „Mein Verdacht kommt nicht ungefähr. Ich glaube zwar nicht, ...“
Optionen

Du aktualisierst aber schon regelmässig den Paketindex bevor zu etwas zu installieren versuchst?

z.B. mittels aptitude update oder apt-get update

Grad bei Debian Jessie (testing) ist die Paketfluktuation relativ gross, da gibt's andauernd neue Versionen und alte Pakete fallen raus. Dass dein System noch Kernel 3.14 nutzt, lässt darauf schliessen, dass schon länger kein dist-upgrade mehr durchgeführt wurde...

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
gelöscht_84526 torsten40 „Mein Verdacht kommt nicht ungefähr. Ich glaube zwar nicht, ...“
Optionen
Ich habe Debian Jessi/sid
Nach einiger Suche auf den Debianservern, war die Datei tatsächlich nicht mehr da, sondern schon durch eine neuere ersetzt wurden.

Klar, ne..........

Gruß

K.-H.

bei Antwort benachrichtigen
Systemcrasher Acader „Diese Frage stellt sich doch unter Linux gar nicht. Dann ...“
Optionen
Wie soll dann Schadsoftware in das System gelangen?

Über Sicherheitslücken im Browser.

Ob und welchen Schaden die dann (nnerhalb der Browserumgebung) anrichten, hängt zu einem großen Teil von der Rechtevergabe des Users ab.

Hat der root-Rechte, siehts schon dämlicher aus.

Insgesamt dürfte die meiste Schadsoftware aber an de schier unüberschaubaren Konfiurationsunterschieden der einzelnen Linuxsysteme scheitern.

Null Toleranz f?r Intoleranz
bei Antwort benachrichtigen
Borlander Acader „Diese Frage stellt sich doch unter Linux gar nicht. Dann ...“
Optionen
Wie soll dann Schadsoftware in das System gelangen?

Über Sicherheitslücken. Sei es in Systemdiensten oder auch auf Anwendungsebene. Ich habe schon befallene Server mit eigenen Augen gesehen, das ist also keine rein theoretische Gefahr…

bei Antwort benachrichtigen
Acader Borlander „Über Sicherheitslücken. Sei es in Systemdiensten oder ...“
Optionen
Über Sicherheitslücken. Sei es in Systemdiensten oder auch auf Anwendungsebene.

Meine Aussage bezieht sich aber auf stabile Distributionen. Dazu gehört natürlich nicht z.B. ein Debian Sid oder auch Software welche nicht geprüft oder offiziell für die jeweilige Distribution freigegeben wurde.

Ich habe schon befallene Server mit eigenen Augen gesehen

Deshalb sollte man eben besser nur die vertrauenswürtigen Quellen nutzen. Nicht umsonst wird ja schließlich vor Fremdquellen gewarnt. Praktisch hat man deshalb mit Schadsoftware unter Linux da wohl eher kein Problem wenn man sich daran hält.

Deshalb hatte ich geschrieben: Dann erkläre uns erst einmal wie du unter Linux überhaupt Schadsoftware installieren willst.

MfG Acader

bei Antwort benachrichtigen
Borlander Acader „Meine Aussage bezieht sich aber auf stabile Distributionen. ...“
Optionen

In den Fällen die ich gesehen habe lief natürlich eine stabile Distribution ohne Einsatz von Fremdquellen. Das ist bei Serversystemen durchaus keine so exotischer Konfiguration…

bei Antwort benachrichtigen
gelöscht_322213 Acader „Meine Aussage bezieht sich aber auf stabile Distributionen. ...“
Optionen
bei Antwort benachrichtigen
Acader gelöscht_322213 „https://portal.cert.dfn.de/adv/archive/?search tag debian“
Optionen
https://portal.cert.dfn.de/adv/archive/?search=&tag=debian

Kenne ich nur zu gut.

Man muß diese Software nicht unbedingt installieren. Falls doch wird nach Erkennung von Bugs (und das passiert meistens) durch die Paketbetreueung Abhilfe geschaffen.Deshalb stabile Versionen auch laufend aktualisieren.

Alles außerhalb von freigegebener stabiler Software ist eine andere Sache und für 99% der Linuxer daher ohne Bedeutung.

Der ordnungsgemäße Umgang mit Linuxsystemen natürlich vorausgesetzt.

MfG Acader

bei Antwort benachrichtigen
gelöscht_322213 Acader „Kenne ich nur zu gut. Man muß diese Software nicht ...“
Optionen
Kenne ich nur zu gut.

Aha.

Man muß diese Software nicht unbedingt installieren.

Man muss überhaupt keine Software installieren, dann hat man auch überhaupt keine Sicherheitslücken zu befürchten. Herr, wirf Hirn vom Himmel.

Alles außerhalb von freigegebener stabiler Software ist eine andere Sache und für 99% der Linuxer daher ohne Bedeutung.

Der Fachmann hat gesprochen. Jetzt bin ich platt. Optionen -> Acader ausblenden.

bei Antwort benachrichtigen
Kabelschrat Acader „Diese Frage stellt sich doch unter Linux gar nicht. Dann ...“
Optionen

Hallo acader,

gleichwertiges

Dann erkläre uns erst einmal wie du unter Linux überhaupt Schadsoftware installieren willst. Die aus den Distri-Paketquellen ist geprüfte Software und wird zusätzlich verwaltet von Paketbetreuern. Fremdsoftware hingegen installiert man nur von vertrauten Quellen.

glaubte der harte Kern  der Applefans, von seinen Betriebssystemen,auch.

Gruß

Manchmal frag ich mich, ob die Welt von klugen Köpfen regiert wird, die uns zum Narren halten oder von Schwachköpfen die es ernst meinen. M. Twain
bei Antwort benachrichtigen
Acader Kabelschrat „Hallo acader, gleichwertiges glaubte der harte Kern der ...“
Optionen
glaubte der harte Kern  der Applefans, von seinen Betriebssystemen,auch.

Hier geht es nicht um glauben sondern wissen.

Ich beziehe mich dabei hauptsächlich auf Debian stable. Fehler wird es immer geben. Werden diese erkannt (und das ist meistens der Fall) wird auch Abhilfe geschaffen. Der Normalanwender merkt davon in den meisten Fällen ohnehin nichts.

MfG Acader

bei Antwort benachrichtigen
Kabelschrat Acader „Hier geht es nicht um glauben sondern wissen. Ich beziehe ...“
Optionen

Hallo acader,

was hatte Linux mit dem Nobelhobel Apple gemeinsam?

http://t3n.de/news/shellshock-bash-bug-sicherheit-linux-os-x-unix-568692/

Das!

Manchmal frag ich mich, ob die Welt von klugen Köpfen regiert wird, die uns zum Narren halten oder von Schwachköpfen die es ernst meinen. M. Twain
bei Antwort benachrichtigen
gelöscht_189916 Kabelschrat „Hallo acader, was hatte Linux mit dem Nobelhobel Apple ...“
Optionen
was hatte Linux mit dem Nobelhobel Apple gemeinsam?


Jou...

...nur das die meisten Linux-Distris den Fehler in der Bash praktisch stante pede gefixt haben. Kritische Fehler benötigen unter Linux oft nur Stunden, bis sie behoben werden und bei einem fähigen Admin ist Shellshock Altpapier.

http://www.golem.de/news/shellshock-alle-bash-luecken-gepatcht-1410-109638.html

Mit dem Bekanntgeben der Lücke waren die Patches bereits freigegeben:

http://www.heise.de/security/meldung/ShellShock-Standard-Unix-Shell-Bash-erlaubt-das-Ausfuehren-von-Schadcode-2403305.html

http://www.openwall.com/lists/oss-security/2014/09/24/11

Apple hat sich immerhin Zeit bis zum 30.September gelassen und MS braucht üblicherweise für sein System nur einen Tag im Monat, um Sicherheitslücken zu schliessen. Das liegt vermutlich daran, dass es so sicher ist wie Fort Knox und im Gegensatz zu diesem krätzigen Hobby-Frickel-System Linux auch gleich alle installierten Programme mit aktualisiert, so dass auch von dieser Seite nix passieren kann.

bei Antwort benachrichtigen
gelöscht_322213 torsten40 „Woran erkennt man, dass man 0wn3d ist“
Optionen

Du hast natürlich recht, nur absolute Schwachköpfe würden bestreiten dass man unter Linux vor Schadsoftware gefeit wäre. Ansonsten ist aber eher auf rootkits zu achten (http://wiki.ubuntuusers.de/rkhunter und viele, viele weitere Quellen. Google hilft...). Vor dem Gebrauch aller möglichen Repositories wird übrigens von den Distributionen selbst gewarnt, scheint sich nur noch nicht bis zu allen Fanboys herumgesprochen zu haben. Gruß vom Tauchlehrer.

bei Antwort benachrichtigen
torsten40 gelöscht_322213 „Du hast natürlich recht, nur absolute Schwachköpfe würden ...“
Optionen

Sowas in der Art habe ich gesucht.

Danke

Freigeist
bei Antwort benachrichtigen
Wiesner torsten40 „Woran erkennt man, dass man 0wn3d ist“
Optionen

Da die meiste Schadsoftware "Telefoniert" würde ich mir mit iptables die geöffneten Ports und deren Prozesse ansehen.

Vielleicht findest du so Auffälligkeiten.

bei Antwort benachrichtigen