Hallo!
In letzter Zeit beginne ich mich intensiver mit dem Thema Sicherheit auseinanderzusetzen und habe viel in diesem Forum gelesen. Es scheint mir das kompetenteste in diesen Fragen zu sein. Jetzt wollte ich mal von euch wissen, ob die Schlussfolgerungen, die ich so aus meiner Lektüre gezogen habe, auch stimmen. Natürlich nur, wenn ihr Zeit habt, keinerlei Eile oder Notsituation.

Ist folgendes richtig?
- Ein Trojaner kann auf dem System immer das, was der angemeldete User auch kann, so z.B.
* von Windows auf ext*-formatierte Systeme zugreifen, auch schreiben: wenn sie als Shares mit Samba eingehängt sind ja, auf derartige Partitionen auf dem eigenen Gerät - nein.
* etwas als Admin ausführen - wenn er (der Trojaner) das Passwort hat.
- Ein Keylogger und ein Keygen haben nichts miteinander zu tun, beim ersteren bedeutet das "key" "Taste" und beim zweiteren "Schlüssel" im Sinne von Registrierungsnummer.
- Ein Keygen kann nicht aus versehen auf das System gelassen werden wie ein Trojaner, sondern wurde immer von jemandem installiert, der vor dem Gerät saß und damit kostenpflichtige Software ohne Zahlen zum Laufen bringen wollte (wobei es allerdings in Russland nicht immer einfach ist, legale von raubkopierter Software zu unterscheiden. Am Preis natürlich, aber es gibt ja auch schon mal legal günstige Schnäppchen oder andere Versionen).
- Scripte sind zwar auf allen Betriebssystemen ausführbar, aber ein Script kann nur das System manipulieren, wenn es für dieses System geschrieben ist.
- Rootkits gibt es zwar für Windows und für Linux, aber keinesfalls die gleichen.
- Wenn ein Linux-Computer in einem Windows-LAN mit gewissen Unsicherheitsfaktoren hängt, kann zwar dadurch Malware auf dessen Share gelangen, aber wohl kaum auf dessen System laufen.

Wie ist es eigentlich mit Bootsektorviren? Der Bootsektor ist ja nicht im Betriebssystem enthalten, aber das Virus schreibt sich doch wohl vom Betriebssystem aus dorthin? Oder ist dies nicht der Fall, sondern es schreibt sich beim versehentlichen Booten von einem verseuchten Wechselmedium in dem Bootsektor des Computers? Kann ein Computer, auf dem NUR Linux läuft, einen Bootsektorvirus bekommen?

Kann Malware selbständig auf Shares etc. zugreifen, die der Benutzer nicht im Moment geöffnet hat? Wenn sie das Passwort kennt oder kein Passwort gesetzt ist?

Ich habe hier öfter mal Leute mit Sticks, die verseucht sind oder waren. Was haltet ihr von dem Vorgehen, USB-Sticks zu "impfen", indem man einen Ordner "autorun.inf" darauf erstellt und darin womöglich noch eine unter Windows schwer löschbare Datei, indem man diese z.B. "lpt1" oder so nennt? Man kann dann unter Windows den Ordner zwar nicht so einfach löschen, aber ganz einfach umbenennen und das kann dann ein Trojaner doch wohl auch? Ich habe auch schon anweisungen gefunden, wo die Dateirechte dieser Datei eingestellt werden sollten, aber das ist unter FAT32 doch Quatsch?
Außerdem besteht die Gefahr, dass der Nächste, der diesen Stick zu Gesicht bekommt, die autorun.inf sieht, meint er sei verseucht und Panik macht...

Da du keine Bereinigung benötigst, wird dieses Thema in das Diskussionsforum verschoben.

Sorry für die falsche Unterforenwahl! Ich hatte noch überlegt und dann gedacht, für Bereinigung sei das Forum "Log-Analyse und Auswertung" da und beim Diskussionforum müsste man schon firm im Thema sein :-)

1. ja

2. ja aber bei einem keygen kann natürlich noch ein keylogger mit drin versteckt sein

3. ja das stimmt den keygen muss man selber runterladen und benutzen

4. die meisten viren gehen auf allen windows versionen also xp vista 7, bei 8 bin ich mir nicht sicher

5. ich bin mir nicht sicher ob es rootkits für linux gibt aber wenn dann sind sie wohl anders geschrieben aber die gleiche bezeichnung werden sie wohl trotzdem haben z.B ZeroAccess

6. weis ich leider nicht genau..

7. solche viren sind an sich sehr selten und ich glaube nicht das es solche für linux gibt an sich lohnen sich diese viren glaube ich auch nicht

8. durch manche malware kann der angreifer sich remote zugriff auf den pc holen also alles machen was er will eigentlich.

9. kann ich nix zu sagen versteh die frage auch grad nicht so richtig :/^^

mfg HardStylerx3

Hallo, danke schon mal!

Mit Nr. 9 meinte ich folgendes:
Einer kommt zu mir und will z.B. was vom Stick ausdrucken. Ich sehe, dass auf dem Stick eine autorun.inf und versteckte Dateien sind, bzw. wenn ich gerade unter Windows arbeite, springt Dr. Web an und warnt - oder es ist zwar keine autorun.inf mehr da, aber lauter versteckte Dateien, die offenbar früher einmal von einem Trojaner oder so versteckt wurden. Da könnte ich ja dann grob nach der Anleitung auf dieser Seite hxxp://scareware.de/2011/05/autorun-inf-autostart-von-usb-sticks-und-cddvd/ ganz unten ("USB-Sticks gegen autorun.inf schützen") vorgehen, damit sich derjenige Benutzer nicht gleich bei der nächsten Gelegenheit wieder etwas zuzieht.

Jedoch halte ich zumindest diesen Teil "attrib +r +s +h \autorun.inf /s /d" für Quatsch, da die meisten USB-Sticks ja mit FAT32 formatiert sind und da gar keine Dateirechte greifen.

Außerdem, wenn man mal von Nr. 1 ausgeht: "Der Trojaner kann das, was ich auch kann" - mir bereitet es gar keine Probleme, unter Windows diesen Ordner, auch wenn er sonst was für eine unlöschbare Datei enthält, einfach umzubenennen und dann eine autorun.inf beliebigen Inhalts daneben zu speichern. Ein Trojaner wird das also auch können.

Drittens denke ich mir folgendes Szenario. Der Benutzer kommt woanders hin, da sagt man ihm: "Oh, du hast eine autorun.inf auf deinem Stick, ist das Absicht? Sieht wie ein Ordner aus, komisch. Lässst sich nicht löschen - verdächtig!!!"

Zitat:

Zitat von HardStylerx3

5. ich bin mir nicht sicher ob es rootkits für linux gibt aber wenn dann sind sie wohl anders geschrieben aber die gleiche bezeichnung werden sie wohl trotzdem haben z.B ZeroAccess

Natürlich gibt es rootkits für unixoide Systeme
Rate mal warum man gerade den Begriff rootkit gewählt hat, klingelt's?
(hint: wie heißt der admin/superuser in einem unixoiden System? )

Zitat:

Zitat von Fragerin

Jedoch halte ich zumindest diesen Teil "attrib +r +s +h \autorun.inf /s /d" für Quatsch, da die meisten USB-Sticks ja mit FAT32 formatiert sind und da gar keine Dateirechte greifen.

Sry aber dass du es für Quatsch hälst ist Quatsch denn du verwechselst gerade Attribute mit Berechtigungen im Dateisystem. Der Befehl attrib kann Atrribute wie schreibgeschützt (r), versteckt (h), system (s) oder das Archivbit (a) setzen oder entfernen - Attribute sind keine Berechtigungen wie man das zB von den ACLs auf einem NTFS-Volume kennt.

Zitat:

Zitat von Fragerin

Drittens denke ich mir folgendes Szenario. Der Benutzer kommt woanders hin, da sagt man ihm: "Oh, du hast eine autorun.inf auf deinem Stick, ist das Absicht? Sieht wie ein Ordner aus, komisch. Lässst sich nicht löschen - verdächtig!!!"

Wie wärs diese nervige und riskante Funktion Autorun komplett zu deaktivieren?

Oh, jetzt wird mir das klarer mit den Attributen und den Rechten, dass das unterschiedliche Dinge sind! Kann ich auch von Linux aus Attribute setzen, die dann unter Windows gültig sind?

Die Autorun-Funktion "komplett" abschalten - wo?
Selber habe ich nur zu 4 Computern direkten Zugang, mein Privatnotebook mit Ubuntu und drei WinXP-Computer bei der Arbeit (Ausbildungsstätte, falls das von Belang ist), bei denen die Autorun-Funktion sowieso deaktiviert ist. Außerdem habe ich einen Live-Stick mit Puppy Linux und arbeite gern anstatt WinXP unter diesem System, wenn ich grade Sachen zu tun habe, die damit gehen. Bei meiner Frage meinte ich USB-Sticks von Personen, die nicht immer hier sind, und ich bin nun auch nicht diejenige, die sagen kann "stell dir mal zu Hause die und die Einstellungen ein und da, wo du sonst noch hinkommst, am besten auch". Aber "soll ich dir deinen Stick mal ein bisschen sicherer machen?" geht schon eher.

Also ich hätte keine Bedarf von Linux aus Attribute auf NTFS-Volumes zu verändern aber ich nehme mal an du meinst sowas hier => NTFS-3G: Extended Attributes

Linux hat nativ auch Attribute siehe => chattr ? Wiki ? ubuntuusers.de (diese Attribute werden nur (wenn überhaupt) in ext2/3/4 funktionieren)

Nr. 9:
Der Trick mit den Ordner könnte funktionieren, aber die Malware könnte den Ordner auch wieder löschen. Wenn man es mit einen von Windows reservierten Ordner (z.B. lpt1) im autorun.inf Ordner macht, ist es zwar nicht mehr mit normalen löschen möglich, aber Programme/Malware können auch wie der Benutzer Befehle wie "rd /s \\?\X:\autorun.inf" ausführen und den Ordner wieder löschen.

Zitat:

Windows unterscheided schon Ordner und Datei, aber Windows lässt einen trozdem keine Datei mit dem gleichen Namen machen.

Wieso soll es da relevant sein ob es ein Ordner ist oder eine Datei? Es kann in einem Verzeichnis nun mal nicht zwei Objekte geben mit identischem Namen.

Abgesehen davon, was bringt es unter Windows eine Datei ohne Dateiendung zu erzeugen? Ordner benennt man idR ORDNERNAME aber nicht ORDNERNAME.TXT oder so. Ist in den meisten Fällen sinnfrei. Und Dateien gibt man als Namen in der Regel DATEI.TXT als Beispiel.

[QUOTE=cosinus;1052661]Natürlich gibt es rootkits für unixoide Systeme
Rate mal warum man gerade den Begriff rootkit gewählt hat, klingelt's?
(hint: wie heißt der admin/superuser in einem unixoiden System? )


ich sagte ja ich bin mir nicht sicher

wieder was gelernt

Ich würde ja auf einem Fat32-Volume (nicht NTFS) die Attribute setzen wollen, aber eben so, dass Windows das Objekt nacher als schreibgeschützt und versteckt und Systemdatei/Ordner behandelt. Deswegen denke ich schon, dass diese "NTFS Attributes" das Richtige sind.

Wobei mir nicht klar ist, was das "System" genau bedeutet und bewirken soll. Schreibgeschützt klar: damit ein eventueller Trojaner es nicht löschen kann. Versteckt - auch klar: damit sie einem nicht ständig in die Augen springt, weil man damit ja weiter nichts machen will. Aber System? Das bedeutet doch eigentlich, dass das Objekt vom System genutzt wird?

Zitat:

ich schon, dass diese "NTFS Attributes" das Richtige sind.

Attribute behandelt Windows auf FAT und NTFS Volumes AFAIK gleich.
Du hast unter Windows egal welches Dateisystem immer die Möglichkeit die Attribute readonly, hidden, system oder archive zu setzen

Zitat:

Wobei mir nicht klar ist, was das "System" genau bedeutet und bewirken soll.

Mit diesem Attribut wird gekennzeichnet, dass es sich im eine Systemdatei handelt. Diese werden unter Windows im Dateimanager nicht angezeigt, auch wenn man versteckte Dateien einblenden lässt. Wenn man versucht eine Dateisystem mit dem S-Attribut zu löschen, bringt Windows eine "schlimmere" Warnung. Und doch ein Trojaner kann auch eine Datei mit dem S-Attribut löschen oder verändern sofern er genug Rechte hat und die Datei nicht gerade von Windows gesperrt ist.
Auf einem kompromittierten System findet man die schädlichen EXE-Dateien meist mit dem S-Attribut; das soll die Chancen erhöhen, dass der User sie nicht finden und löschen kann.

Was wiederum das Risiko erhöht, dass jemand anders die Datei für ein Teil eines Schädlings hält. Danke für die Infos, jetzt habe ich etwas mehr Durchblick.

Kann ich noch mal auf die Frage nach bösartigen Skripten zurück kommen? Vielleicht bin ich da zu naiv. Ich meine, es ist klar, dass Javascript, vom Browser aufgerufen, evtl. eine Endlosschleife oder so plattformunabhängig auslösen kann. Aber scheitert nicht ein weiter gehender Eingriff ins System schon allein daran, dass die Pfade unter Linux völlig anders bezeichnet werden als unter Windows? Außer natürlich, das Script enthält eine entsprechende if-Abfrage.

Javascript ist zwar Client seitig,kann jedoch meines Wissens nicht ohne weiteres auf das Host System zugreifen,die Exploit Fälle hier bestätigen das gegenteil . Mit JS kann natürlich auch das Betriebssystem ermittelt werden, und je nach Resultat ne andere Binary geladen werden. Die Exploits werden dann auch keine konstanten Pfade nutzten sondern Umgebungsvariablen.