[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Virenscanner



hi,


Am 10. November 2013 12:16 schrieb Konrad Neitzel <konrad@neitzel.de>:
> Hallo Bjoern!
>
> On Sun, 2013-11-10 at 09:12 +0100, Bjoern Meier wrote:
>
>> Wieso sollte ich Windows-Viren meinen? Nur weil du keine Schadsoftware
>> für Linux kennst, heißt es nicht, dass es keine gibt. Übrigens schützt
>> ein Antiviren-Programm nicht nur vor autonome Schadsoftware (Viren)
>> sondern auch vor normalen Payloads. Wie ich schon schrieb: ich selbst
>> nutzte bereits Kernelschwächen. Sie existieren.
>
> Ok, dann hast Du es ja ganz einfach, mich zu überzeugen. Ich habe
> verstanden, dass ClamAV zum großen Teil(??) auf Signaturen basiert. Also
> wirst Du uns doch bestimmt nennen können, wie viele Signaturen von
> Linux-basierten Viren in der Datenbank sind.

Auf der Seite nachzulesen:

ClamAV Virus Databases:
main.cvd ver. 55 released on 17 Sep 2013 10:57 :0400 (sig count: 2424225)
daily.cvd ver. 18091 released on 10 Nov 2013 00:39 :0500 (sig count: 480856)
bytecode.cvd ver. 230 released on 08 Nov 2013 09:20 :0500 (sig count: 43)
safebrowsing.cvd ver. 41183 released on 10 Nov 2013 03:00 :0500 (sig
count: 1398747)


> Gegen was schützt mich ClamAV?

ClamAV erkennt Signaturen die darauf hinweisen, dass Programme etwas
tun, was du eventuell nicht möchtest. Das müssen nicht immer Viren
sein. Viren zeichnen sich nur dadurch aus, dass sie sich autonom
verbreiten können. Nicht jeder Virus öffnet eine Backdoor. Es reicht
z. B. Wenn der PC auf öffentlichen Kanälen erreichbar ist. Nein, das
geschieht nicht immer durch IRC. Es geht oft viel viel einfacher. Z.
B. durch HTTP-Anfragen einzelner Kommandodateien. Das bekommt man oft
nicht mal mit.

> Du kannst ClamAV auch gerne gegen andere Produkte austauschen.
>
> Und bei ClamAV scheint es auch Statistiken zu geben? Oder habe ich da
> jetzt beim Überfliegen der Homepage etwas missverstanden? Habe da jetzt
> keine Statistik gefunden aber evtl. kannst Du ja auch da einen Link
> posten, der klar aufzeigt, dass mit ClamAV aktiv Linux Viren gefunden
> wurden.

Bitte? Solche Statistiken kenne ich von keinem Hersteller. Das wäre
auch marketingtechnisch ein ziemliches Kuckucksei.

> Ansonsten ist es sehr wohl ein guter Schutz, dass die Systeme nicht
> direkt aus dem Internet erreichbar sind. So gesehen hat NAT oder eine
> Firewall sehr wohl einen Schutzmechanismus.

Nein, ist es nicht. NAT war und ist eine Notlösung um IP-Adressen zu
sparen. Es schützt dich vor gar nichts. Warum denkst du wohl, hat ein
Gremium von klugen Köpfen IPv6 so konzipiert, dass NAT nicht mehr
notwendig ist. Wie gesagt: NAT schützt dich vor gar nichts. Mein
gesamtes Netz ist komplett auf IPv6 exposed im Internet und nu?
Gewisse Ports sind konditionell blockiert. Kennst du nicht die IPSec
Parameter: Pech gehabt. Die restlichen Ports werden mittlerweile über
eine Bridge durch ein IDS/Policy System geleitet.
Alles ohne NAT.

> Und noscript ist auch ein Schutz gegen viele Dinge. Beschäftige Dich
> einfach einmal mit den Exploits der Vergangenheit, die auf Browser
> abgezielt haben. Im Augenblick erinnere ich mich an keinen Exploit, der
> ohne JavaScript funktioniert hätte...

iFrames, PHP injection, SQL Injection, etc. Allein webbased exploits
gibt es tausende abseits von js. Jedoch finde ich Web exploits
langweilig. Zuletzt habe ich das genutzt bei phpBB 3.0.0 und das ist
Jahre her.
erstelle dir mal eine php-datei mit folgendem Inhalt:

<?php  echo system($_GET['cmd']); ?>

eine Zeile und damit ist dein ganzes System verwundbar. Ein kleiner
fehler - z. B. in einem komplexen Programm wie Typo3 und ich kann
entweder per remote/local file inclusion oder sql injection so eine
php-datei anlegen und sämtliche Programme mit rechten des
Webserver-Users ausführen. Oft reicht das völlig aus.

Beweis genug? Spätestens wenn ich Housekeeping (Dateien verändern,
System zombifizieren, etc.) betreiben möchte, hätte ich mit einem
Echtzeit-Scanner mehr Probleme. Doch das Problem habe ich unter Linux
nicht, denn es nutzt sie ja keiner ;)

Gruß,
Björn


Reply to: