Antivirus

#0: Jeg er opmærksom, på, at dette forum i væsentlig grad ikke mener det er nødvendigt med virusværn

Du har med al sandsynlighed ikke fået botnettet ind pga en virus. I stedet bør du se på dine adgangskoder mm.

Installer evt. denyhosts som blokerer adgangen ved flere fejlagtige forsøg.

#0: Antivirus

Problemet med antivirus er at antivirus kun kan beskytte imod viruser der er kendte og hvor en "patch" findes, listen over kendte viruser som et fuldt pathed linuxsystem er sårbar for er absurd kort mens den for windows er rimeligt lang. antivirus vil kort sagt have meget ringe effekt på linux fordi svaghederne ikke passer til den løsning antivirus pakkerne levere.

Der er andre svagheder og du har ting som denyhost selinux og forskellige andre måder at whiteliste aktive servicer. og selv automatisk opdatering af alt, især dine PHP/web frameworks.

Bare lige for nysgerrighedens skyld... Sad denne Mint 11 direkte på et ADSL-modem eller lign. (altså med offentlig ip-adresse), eller bag en router?

#0: Efter kontakt med firmaet fik jeg at vide at min pc var angrebet af botnet hvilket medførte at udbyderen fik angrebet sin server og derfor lukkede mig ude. Jeg re-installlerede min Mint 11 hvorefter alt tilsyneladende var OK.

Hvis du installerer programmer downloaded fra internettet frem for fra Mint's Programhåndtering, så stiger sandsynligheden for malware.

Du bør ikke installere fra hjemmesider, med mindre det er strengt nødvendigt, og kun fra pålidelig kilder. Det er ikke altid muligt IHT driverinstallation m.m., men som sagt kun i nødstilfælde.

Er du vandt til Windows, så er det helt essentielt at du ændrer denne vane.
Programmerne fra repos er sædvanligvis tjekket for funktionalitet og malware,

Har du derimod Wine installeret, og på den Windows programmer, især netprogrammer, så bør du installere AV til Linux (ikke Windows).

Du skal holde dine browsere's cache rene for Cookies og midlertidige internetfiler, og det samme gælder for Java cache og Flash cache, og du bør aldrig lade browserne huske passwords.

Til dette skal du bruge BleachBit som du installerer fra Programhåndtering.

Det er klart fornuftigt at køre BleachBit hver gang du har browset internettet.

Tillad mig den påstand, at brugte du BleachBit (Linux svar på CCleaner), eller bare at rense dine cache manuelt, så ville du sandsynligvis opdage, at der ikke var grund til at geninstallere Mint ...

Rationalet "mange øjne på lidt kode" gælder ikke komplekse, omfangsrige eller volatile kodebaser.

Repos, større git-strukturer osv. er ekstremt såbare. Den eneste skråsikkerhed vi har er et manglende formål med at nedlægge os. Det er hvad vi tror da :) for vi kender ikke omfanget af malware.

Sludder og vrøvl med dig BG. Du kan starte med at nedlægge dig selv ;D

#3: Den sad bag en router. Tak for svarene. jeg begynder med Bleachbit og fortsætter med password. Hilsen flaben

Tonen, frømester, tonen :)

men vi kan starte med at høre en god begrundelse for hvorfor kernel.org har været kompromitteret, og hvorfor debian mistede entropien i nögldannelsen. Og vigtigst af alt, hvorfor blev det opdaget så sent.

#8: Tonen, frømester, tonen :)

Godt at se at du er begyndt at gå op i den ;)

Indtil videre finder jeg det kun nødvendigt at forholde mig til oplægget. Istedet vil jeg opfordre til at starte en ny tråd om emnet.

Sikkerhed er altid aktuelt. Det kan ikke nytte at man falder i søvn fordi noget nærmest er skudsikkert.

Alligevel er den største sandsynlighed vedr. trådstarter, browser crabs fra internettet. Den platformsuafhængige Java, Flash, PDF, Tracking Cookies eller Wine m.v..

#9: Alligevel er den største sandsynlighed vedr. trådstarter, browser crabs fra internettet. Den platformsuafhængige Java, Flash, PDF, Tracking Cookies eller Wine m.v.

Blot nysgerrig: Hvordan can cookies og cachefiler giver adgang for botnets???

#10: Blot nysgerrig: Hvordan can cookies og cachefiler giver adgang for botnets???

Hvis der er tale om botnet. Det er jo kun en andenhåndsoplysning, som jeg læser trådstarter.

Jeg er meget i tvivl om at maskinen var en zombie, men havde den eksempelvis en webserver installeret, og i så fald, hvilke server service havde den osv ...?

Bortset fra det, så kan funktioner i diverse netrelaterede filer, omdirigere til malware inficerede websites, sende forespørgsler, påvirke DNS cachen, og også være malware i sig selv.

Også på Linux er det en god ide at installere BleachBit, og bruge den flittigt. Browseren bliver også mærkbart hurtigere.

---------------------

Hvis nogle vil kontrollere systemet for vira, så tag et kik på Avira Professional for UNIX. Avira er langt mere grundig end dem man finder i repos, som ClamAV, og hvis det er Pro, så scanner den over netværket også på Windows maskiner.

Der er flere udgaver.

Avira Pro for Unix
http://www.24.dk/group/linux/forum/thread/2144861

http://www.filecluster.com/downloads/Avira-AntiVir-UNIX-Professional.ht…

http://www.avira.com/en/support-download-avira-antivir-command-line-sca…

http://www.avira.com/en/support-download-avira-free-antivirus

#9: Godt at se at du er begyndt at gå op i den ;)
Jeg tilgav dig fordi det var post nr 666.

Indtil videre finder jeg det kun nødvendigt at forholde mig til oplægget. Istedet vil jeg opfordre til at starte en ny tråd om emnet.

Sikkerhed er altid aktuelt. Det kan ikke nytte at man falder i søvn fordi noget nærmest er skudsikkert.
Så vågn op og forhold dig til det du skriver. Du skriver jo direkte at repos er sædvaneligvis sikre.

Gu er de ej!
De er store.
De er komplekse.
De er volatile.
Mennesker laver fejl.
Nogle mennesker er ondsindede.

Hvad med den her megabrøler, hvor en inkompetent weekendhacker lige rydder lidt op i koden, og wupti så er der en sikkerhedsrisiko der kører uopdaget i 20 måneder!
http://wiki.debian.org/SSLkeys#Technical_Summary
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0166

Da det er debian nedarves fjelen i en masse andre godtroende distros uden nogen opdager noget som helst. Du har intet belæg for at sige repos er det mindste sikre. Enhver kan med en minimal gang social engineering blive pakke-maintainer. I nogle distros bliver unmaintanede pakker skippede videre til ethvert fjols der vil overtage dem.

Med de tonsvis af regressions vi ser konstant, så er der intet der tyder på at der et kodeeftersyn nok! Flabens fejl er der nok ingen der finder, men hear-say har vi nok af, slet cache, salt over skulderen også geninstallation! Yay for security.

Er der nogle online virusscannere der er relevante at bruge, når man sidder på en Linux-maskine? Jeg ved ikke om dem fra Trend Micro, Panda osv. kun er beregnet til Windows-brugere

#13: Er der nogle online virusscannere der er relevante at bruge, når man sidder på en Linux-maskine? Jeg ved ikke om dem fra Trend Micro, Panda osv. kun er beregnet til Windows-brugere

Der er værktøger som chkrootkit der kan scanne for de få kendte linux exploits, selinux er en god måde at afskærme "farlige" tjænester/programmer selinux er i en eller anden form aktivt på de fleste distroer som standard.

Der skal nok værre nogen der vil sælge dig noget de kalder antivirus til linux men problemet at antivirus er en ret overvurderet teknologi der ikke yder halvdelen af den beskyttelse folk ofte tilskriver den, og med linux er så godt som alle de trusler du render ind i ikke på nogens liste over kendt malware så der yder antivirus ingen beskyttelse.

På serversiden er linux andgrebet nok, specielt div populære PHP web frameworks har været hårt ramt, og jeg ville ikke tilskrive det RoR klud folk erstatter det med nogen god sikkerhed.

#7: jeg begynder med Bleachbit og fortsætter med password

Tag de samme forholdsregler på Linux som i Windows vedr. browserne. Browserne er sikkerhedsrisiko nr. 1.

- Lad browserne slette alt når de lukkes.
- Tillad ikke tredjepart cookies.
- Lad dem aldrig huske passwords eller formoplysninger.
Skriv dem ned i en TrueCrypt container, eller en bog m.v.

- Slet alt browserrelateret med BleachBit efter hvert besøg på internettet. Husk JAVA og Flash Cookies.

Med jævne mellemrum, kør BleachBit i root-tilstand, og sæt hak i APT. Det vil slette op til flere hundrede MB gamle uddaterede filer på Linux og øge sikkerhed, hastighed og funktionalitet.

- Tjek din routers status herfra. Den bør være Stealth, med mindre du kører en webserver af en slags.

Tryk på Proceed og All Service Ports. Har du mistanke om, eller åbnet porte i routeren udover de første 1055, tjek dem ud seperat,
https://www.grc.com/x/ne.dll?bh0bkyd2

- Installer WOT (Web Of Trust) i dine browsere.
WOT er en social tjeneste, hvor andre brugere kan medgive deres oplevelser om diverse sits på nettet. WOT er ikke en teknisk baseret site-blocking service, men den er absolut en god indikator.
http://www.mywot.com/en/download

#15 Tak for svarene som er eksekveret på nær bleachbit i root. Jeg kommer ikke frem til at kunne køre den. Altså jeg er ikke i root tilstand.

Måske misforstår jeg dig, men du skal jo blot logge ud og derefter logge ind som root :-)

#16: Tak for svarene som er eksekveret på nær bleachbit i root. Jeg kommer ikke frem til at kunne køre den. Altså jeg er ikke i root tilstand.

I Mint 11 burde BleachBit (As root) findes i Mint menuen. Prøv at kikke under Programmer > Alle > BleachBit (As root).

Ellers kan du selv oprette den:

- Kopier en genvej til skrivebordet af BleachBit fra Mint-menuen (højreklik og vælg: Tilføj til skrivebord)
- Fra BleachBits Egenskaber (højreklik > Egenskaber), skriv i Kommando: gksudo bleachbit

Alternativt start BleachBit som root fra en terminal: gksudo bleachbit.

Nu starter BleachBit op uden de indstillinger den gør som bruger. Sæt hak i APT og tryk Forhåndsvis før du sletter noget. jeg har ikke været udefor at den har slettet noget den ikke skulle.

Velbekommen ;)

Fornuftigt at du starter med Linux Mint 11, og ikke en af selvbyggerne. Sikket et chock du sikkert ville opleve ;)

lol slette cookies, ja, hvilken enorm sikkerhedsrisiko dette har...

#redeeman

jamen et par småkager i skuffen er jo farligt :) af andre totalt udokumenterede husmorråd vil jeg anbefale at slå en stram knude på internetkablet og sæt fem fyrfadslys på routeren som brandmur.

Sandheden er at flabens box blev nakket, og vi famler i blinde.

Jeg har heller aldrig hørt om det på Linux, men det er ingen nyhed i Windows

Flash Cookies
http://en.community.dell.com/support-forums/virus-spyware/f/3522/t/1934…

http://www.linuxplanet.com/linuxplanet/reports/6711/1

#23:

#23: eg har heller aldrig hørt om det på Linux, men det er ingen nyhed i Windows

Det er vigtigt her at adskille rootkit/keyloggere fra "cookies" i sikkerheds sammenhæng alt hvad en cookie gør er at identificere dig på tværs af sessioner/sider, mens de svjv ikke kan eksekvere real kode ie foretage andgreb på servere etc. så hvis hans udbyder har spottet botnet trafik fra hans pc er det ret sikkert problemet ikke var med cookies.

#24

Jeg er da helt enig. Ved godt at cookies ikke er årsagen. Det er også kun almindelig rengøring af præventive årsager.

Der er for mange gætterier og for lidt information, til at afgøre hvad der egentlig var i vejen. Havde flaben mere end en maskine på LAN? Har han også en Windows? Var der installeret en webserver på Linux Var der overhovedet tale om botnets, måske istedet torrents trafik, proxies osv.

Mens jeg tænker forebyggende, så kan flaben, og alle andre, nedsætte risikoen for lignende situationer ved at udskifte sin hosts fil med denne, og opdatere den jævnligt.

http://winhelp2002.mvps.org/hosts.txt

---------------

Vedr teorierne omkring crabs fra repos, så er det ikke forbudt at lægge to og to sammen.

Skulle det være årsagen, hvor stor er risikoen så lige for, at vi andre Mint brugere også var inficeret? Det er vi bare ikke ... og jo, jeg er 100% sikker på, at mine Linux er rene som englestøv. Jeg overvåger netværket.

Det er meget mere sandsynligt, hvis det overhovedet skyldes Linux Bots, at det kommer fra en installation fra en hjemmeside.

#25: nedsætte risikoen for lignende situationer ved at udskifte sin hosts fil med denne, og opdatere den jævnligt.

http://winhelp2002.mvps.org/hosts.txt

Det kunne være snildt med et cronjob der hentede den dagligt. Den skulle så tilføjes til ens primære hosts fil så den ikke overskrev evt. egne regler.

#25:
Du aner jo ikke en skid om hvilke pakker flaben har installeret fra repos.

Jeg mangler stadig argumenter for at man kan stole på repos. Enhver med lidt engagement kan komme ind og dumpe sit ondsindede kode der.

#26: Det kunne være snildt med et cronjob der hentede den dagligt. Den skulle så tilføjes til ens primære hosts fil så den ikke overskrev evt. egne regler.

Det er jo en glimrende ide. Det har jeg ikke skænket en tanke ;)
Måske det er nok med en gang om ugen.

Jeg mangler stadig argumenter for at man kan stole på repos. Enhver med lidt engagement kan komme ind og dumpe sit ondsindede kode der.

Enig og det er også bevist - omend uskydigt af Treviño http://liquidat.wordpress.com/2006/11/29/the-problem-with-3rd-party-rep…

frogmaster:

Hvad betyder APT. Er det en forkortelse for alle punkter eller lign.

Jeg har intet punkt i BleachBit der hedder sådan

#30: Hvad betyder APT. Er det en forkortelse for alle punkter eller lign.

I Debian systemerne og hvis BleachBit køres som root med hak i APT; apt-get remove og purge, apt-get clean og autoclean, hvor gamle filer slettes og cachen renses. Commands man også kan køre fra terminalen.

http://db.tt/i0RMVjMB

Jeg ved ikke hvorfor du ikke har APT i din udgave, men den burde vise sig uanset om man kører BleachBit som root eller ej. Der er jo forskel på distroerne og terminal commands ...

Som standard bruger vil APT give en fejl fordi de rigtige tilladelser ikke er givet.

------


apt-get is a simple command line interface for downloading and
installing packages. The most frequently used commands are update
and install.

Commands:
update - Retrieve new lists of packages
upgrade - Perform an upgrade
install - Install new packages (pkg is libc6 not libc6.deb)
remove - Remove packages
autoremove - Remove automatically all unused packages
purge - Remove packages and config files
source - Download source archives
build-dep - Configure build-dependencies for source packages
dist-upgrade - Distribution upgrade, see apt-get(8)
dselect-upgrade - Follow dselect selections
clean - Erase downloaded archive files
autoclean - Erase old downloaded archive files
check - Verify that there are no broken dependencies
markauto - Mark the given packages as automatically installed
unmarkauto - Mark the given packages as manually installed
changelog - Download and display the changelog for the given package
download - Download the binary package into the current directory

http://www.2shared.com/photo/pYJ8z6iM/cleanerx1.html

Så spændende ser det ikke ud i openSUSE

Billedet er taget, mens jeg var logget ind som root. Og startede også med at opdatere til sidste version

Mig bekendt bruger Suse ikke apt som backend til softwarekilder modsat Debian-varianterne.

Jeg ved godt at man kan rammes af virus på Linux. Jeg har mødt en før, der var blevet ramt (hvor hans maskine prøvede at hacke Pentagon (tror jeg det var ...))

Dog tvivler jeg lidt på om det også er tilfældet her. Kan det ikke bare være en trådløs router med et dårligt password (eller WEP), som en Windows nabo har lånt? (Selvom det selvfølgelig ikke forklarer hvorfor alt nu tilsyneladende er ok)

Derudover kan det også være udbyderen, der har lavet en fejl. (Jeg har aldrig hørt om et direkte bot-net af Linux-maskiner, der blev fjernstyret)

Personligt har jeg ikke tænkt mig at gøre mere ved sikkerheden... jeg er endda ved at gå ned til en bruger, fremfor at have et lag til en admin, der må lave sudo.

Hvis Linux en dag når en højere markedsandel end 3% vil jeg genoverveje mit synspunkt. Men ellers undgår jeg helst at hente binære filer på nettet fra kilder, som jeg ikke kender ordentligt.....

#35: Men ellers undgår jeg helst at hente binære filer på nettet fra kilder, som jeg ikke kender ordentligt

Det hjælper jo ikke at hente kildekoden og kompilere selv med mindre du kigger koden igennem!

En virtualiseret Windows - eller Wine (som Frogmaster nævner) kan jo også være skyld i problemet.

#34: Mig bekendt bruger Suse ikke apt som backend til softwarekilder modsat Debian-varianterne.

Ja det er naturligvis årsagen.

PClinuxOS, der jo ikke er en Debian, men en Mandriva variant, bruger også apt-get som backend, selvom lokalt installerede programmer installeres med RPM istedet for DEB.

Derfor vises APT også i BleachBit på PClinuxOS.

--------

Ang. installation fra hjemmesider, så er det ikke nogen nyhed, at de udgør en langt større potentiel risiko for malware. Eksempelvis advarer pclos direkte, med udtalelsen, at de muligvis ikke vil supportere hvis man gør det.

Det burde ikke være svært at forstå, at installere man udenfor repos, så er sandsynligheden for malware, nærmere den man finder med Windows.

Siden de fleste Linux brugere ikke har antimalware installeret, så stoppes malware ikke hvis sådan noget skulle finde vej til systemet.

--------

Det er korrekt at antimalware er retrospective (on demand) imodsætning til firewall der er proactive. Det er grunden til at malware skal defineres før den stoppes af AV og AS.

Det er alligevel meget stor forskel på disse AV's evne til at stoppe malware. Højere oppe er der links til AVIRA, der som nævnt er et særdeles effektivt (tysk) firma. AVIRA til Linux og UNIX har samme engine som bruges på Windows, og derfor kan man også scanne Windows fra Linux med AVIRA til UNIX.

Hvis man ønsker mere info om sikkerhedsprogrammel, så kan den uvildige AV-Comparatives anbefales. Siden de fleste Linux brugere sandsynligvis også bruger Windows, så bør man læse statistikkerne fra AV-Comparatives, ligesom begreber forklares.

Følger man med her, så vil man opleve hvorledes de forskellige AV's effektivitet forandres fra kvartal til kvartal, men heldigvis finder man AVIRA blandt de allerbedste på trods af at den er gratis.

http://www.av-comparatives.org/index.php?option=com_content&view=articl…

-------

Jeg er ikke programmør, men sysadmin, så mine kodeegenskaber rækker ikke meget længere end til "hello world" ;-)

Alligevel har jeg strikket dette simple JavaScript, der demonstrerer at selv den forholdsvis uskyldige JavaScript kan overtage browseren.
Scriptet er skrevet til IE, men burde virker i Firefox, og delvist i Chrome.

Scriptet er naturligvis fuldkommen uskadeligt !!!
Smartfix

I denne forbindelse bør man tænke på en dobbelt browser session med ident port 113, der tillader at åbne porten i routeren. Det medfører at browseren snydes til at tro at forespørgslen stammer fra et trusted site.

#38: Alligevel har jeg strikket dette simple JavaScript, der demonstrerer at selv den forholdsvis uskyldige JavaScript kan overtage browseren.
Scriptet er skrevet til IE, men burde virker i Firefox, og delvist i Chrome.

Prøvede lige i FF. Hvad skulle det gøre? Der kommer bare nogle JS alerts.

I Firefox overtager scriptet browseren. Hvis du under afviklingen trykker på browserens Back button, så får du en ny dialog.

Det er naturligvis uskadeligt, men kan modificeres til ondskabsfulde funktioner

jeg vil anbefale at læse hvad Steve Gibson skriver, bl.a. om "super cookies", og hvis man fortsætter router testen, kommer man til en nye side, hvor han viser et eksempel med en dobbelt browser session iht til ident port 113.

Det vil også spare mig for at gentage hans argumenter.
https://www.grc.com/x/ne.dll?bh0bkyd2

#40:

Jeg har brugt GRC en del for år tilbage, men det var meget sjovt at køre testen igen. Den fandt dog overhovedet ingenting, men hans side er tydeligvis primært rettet mod Windows.

Ang. "supercookies", så har jeg svært ved at se at det er noget særligt. Det er jo bare et reverse DNS for IP-adressen som serveren i den anden ende alligevel ser hele tiden.

GRC er tydeligvist rettet mod Windows, og ident eksemplet virker tilsyneladene heller ikke længere i Linux, selv uden ip tables. Det er jo en god ting.

DNS spoofing er stadig problematisk, og jeg er enig i, at det er langt mere et problem på Windows, lige som stort set alt andet malware relateret. Man kan jo håbe at det fortsætter.

Som sagt er ingen af mine Linux inficeret, og har aldrig været det, og ligegyldigt hvilke sites jeg har besøgt, og programmer jeg har installeret fra repos. Sites jeg ikke ville turde besøge med en Windows.

Eksempelvis keygen.us, for bare at nævne en ...

De nævnte teorier ang. malware fare i Linux fra repos, er i praksis helt ude af proportioner.

Nu er du ude i stråmandsnedskydning. Repos er sårbare fordi alle med dårlige intentioner eller evner kan ændre koden uden indgriben. Dette er bevist flere gange.

#34:Mig bekendt bruger Suse ikke apt som backend

Hvad betyder det så ?

#44:
http://en.wikipedia.org/wiki/Advanced_Packaging_Tool.

Du har en anden pakkehåndtering.

Tak. Det passer også fint med at programmet ikke var i openSUSE som standard,, men at jeg måtte installere det fra YaST

Jeg kender ikke suse, men er det fordi du vil rydde op i systemet, så går jeg ud fra at suse har værktøjer til det brug.

Jeg har ingen fornemmelse af om det overhovedet er nødvendigt, eller om de kan skade systemet.

FSlint http://www.pixelbeat.org/fslint/

BleachBit bør stadig kunne rense browserne m.v.

Syntes bare det lød logisk , at en rensning kunne være fornuftig.
Jeg har ikke brugt det endnu, så der er ingen skade sket :-)

Jeg kan godt mærke forskel på, om der ligger en masse lort i browser cachen, især på de virtuelle OS, og det samme med unødvendige eller forældede system og program filer.

i hvert fald på debian systemerne, kan det tilsammen godt handle om ½ GB old crap.

#49: Ja den følelse havde mange også i de glade WinME dage, hvor man kunne få shitware til at "rydde op". Sikke dejligt det var at genenmføre en rituel handling der kunne gentages ud i det uendelige. Det hele klares med et lille fikst program, og vupti så var alt godt.