Morgen, ich bin gerade vom Glauben abgefallen. Ein Scan von rkhunter 1.4.2 unter buster lieferte 8 possible rootkits. nach neuinstallation waren es 0, bis ich rudimentäre software installiert habe und ein/zwei externe drives angeschlossen habe, wieder 6. stretch aufgesetzt und unter 1.4.2 0 Treffer. 1.4.6 lieferte bei einer frischen Installation von stretch wieder einige Treffer (possible rootkits). Ich habe neben rkhunter clamav und sophos savscan dauerhaft im Betrieb -beide bislang ohne Befund-. Files die ich runterlade werden standardmässig mit virustotal gecheckt. In Foren wird rkhunter zwiespältig behandelt "Rkhunter isn't much defense, but it's even less so after the fact, because it doesn't know what the system should look like. It's like walking into a strange house for the first time and trying to determine what's missing from before you ever saw it." Frage, was würdet Ihr bei so einem rkhunter Ergebnis machen oder anders gefragt, wie glaubhaft wäre so ein possible finding für Euch?
edit: unter buster war es natürlich die Version 1.4.6
Ergänzung Browser läuft mit noscript, ublock-origin...
Matthias S. schrieb: > Frage, was würdet Ihr bei so einem rkhunter Ergebnis machen Die betreffenden Dateien mit den Originalen aus der Paketquelle abgleichen, ggf. via Live System. Außerdem die Paranoia zurückschrauben. Clamav ist sowieso primär für Windows Viren. Wenn du so Angst vor Rootkits hast, nutze ein System mit SELinux, wie RHEL. Oder einfach gleich BSD...
das ist eine Heuristik und die kann falsch liegen und wird sie wahrscheinlich bei dir auch.
Dr Sommer schrieb: >Die betreffenden Dateien mit den Originalen aus der Paketquelle >abgleichen, ggf. via Live System. gute idee, werde ich machen >Außerdem die Paranoia zurückschrauben. Clamav ist sowieso primär für >Windows Viren. letzteres wusste ich nicht, hätte sich mir aber auch nicht erschlossen, weil clamav als standard für die virensuche unter linux angepriesen wird. wg. der paranoia, die habe ich eigentlich garnicht. wenn es in den paketequellen für umsonst mit dabei ist und der browser noscript und co. kostenlos anbietet, why not! und die browser sachen sind einfach pflicht. nur ausgewählte scripte und ublock schützt nicht nur vor werbung!! und wenn in rkhunter, was ich eher selten benutze, plötzlich 8 possible rootkits aufploppen bin ich zumindest mal aufmerksam. User schrieb: >das ist eine Heuristik und die kann falsch liegen und wird sie >wahrscheinlich bei dir auch. Davon gehe ich auch aus, weil was wäre das für ein rootkit, dass eine Neuinstallation übersteht. Ich weiß, gibts alles, aber nicht bei einem kleinen unwichtigen ziel wie mir.
ich schrieb: >und wenn in rkhunter, was ich eher selten benutze, plötzlich 8 possible >rootkits aufploppen bin ich zumindest mal aufmerksam. hinzu kommt noch etwas, dass ich gar nicht auf dem schirm hatte. der zertifikate trouble bei mozilla und so kam es, dass ich unmittelbar nach dem finding in rkhunter keine addons mehr in der frischen installation installieren konnte... lmao
Matthias S. schrieb: > weil clamav als standard für die virensuche unter linux angepriesen > wird. Ja, damit Mailserver auf Linux-Basis an Windows Clients keine Viren senden... Virenscanner haben sich sowieso überlebt. Unter Windows ist der Nutzen mittlerweile zweifelhaft, und unter Linux sind sie ziemlich überflüssig. In Zeiten von Breitband Internet sollte man immer aktuelle Software verwenden und Backups machen. Das hilft viel besser. Matthias S. schrieb: > why not Ein Programm, welches jede Datei öffnet und dabei alle möglichen externen Bibliotheken zum Lesen der obskursten Dateiformate verwendet, hat eine riesige Angriffsfläche. Virenscanner können Computer daher sogar unsicherer machen. Wenn schon sollte man den also sehr abgeschottet laufen lassen; via SELinux Nur-Lese-Zugriff auf Alles, Schreibzugriff und Netzwerk-Verbindungen verbieten oder so. Wenn ein infizierter Scanner aber nur noch false negatives liefert hilft der auch nicht mehr...
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.