[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [NOVICE] clamav



Jesper Krogh wrote:

> I sslug.novice, skrev Stig Johansen:
>>  Ovre i comp.os.linux.security fandt de da en "Linux.RST.B" vha ClamAV.
> 
> Kiggede du efter om fundet havde mere end akademisk interesse? De plejer
> eksempelvis ikke at kunne sprede sig af sig selv.

(Jeg forholder mig til Linux både på server og desktop, da Allan ikke nævner
desktop i sit indlæg.)

Ja, det var konklusionen på et sæt længere tråde.

Pointen med min kommentar var, at man skal ikke føle sig sikker 'bare fordi
man kører Linux'.

> Dette ser også ud til at være tilfældet for denne:
> http://securityresponse.symantec.com/avcenter/venc/data/linux.rst.b.html

Ikke desto mindre er der konstateret tilfælde in the wild:
<http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ELF%5FRST%2EB&VSect=S&Period=1y>

> En virus er ikke noget "magisk" kode eller noget lignende. Det er et
> program næsten lig alle andre programmer, blot skrevet med den egenskab
> at den udnytter et sikkerhedshul til at kopierer sig selv ind på et
> fremmed system og starte sig selv.

Hvis det er i orden med dig, så lad os kalde det malware, så vi ikke slås om
det er en trojaner,orm,virus eller lign.

> Dette kan være via Mail som er set 
> 1.000.000.000 gange under Windows eller via en service man har kørende
> der er hullet.

Lidt afhængig af, hvordan man definerer 'hullet', så tænk på alle de
ssh-attack's, der florerer. Man kan så definere, at dårligt password =
hullet, men det giver ikke anledning til security updates til ssh(d).

> Vi har til dato ikke set noget der kan kopiere sig selv, pånær
> sendmail-ormen tilbage for mange, mange år siden.

Ud over de nævnte ssh-attack's, så kig på følgende entries fra min Apache:
......
66.36.243.107 - - [10/Apr/2005:15:14:43 +0200] "GET /forum/ HTTP/1.1" 404
204
66.36.243.107 - - [10/Apr/2005:15:14:43 +0200] "GET /phpBB/ HTTP/1.1" 404
204
66.36.243.107 - - [10/Apr/2005:15:14:43 +0200] "GET / HTTP/1.1" 200 370
66.36.243.107 - - [10/Apr/2005:15:14:43 +0200] "GET /forums/ HTTP/1.1" 404
205
66.36.243.107 - - [10/Apr/2005:15:14:44 +0200] "GET /phpbb/ HTTP/1.1" 404
204
66.36.243.107 - - [10/Apr/2005:15:14:44 +0200] "GET /board/ HTTP/1.1" 404
204
66.36.243.107 - - [10/Apr/2005:15:14:44 +0200] "GET /boards/ HTTP/1.1" 404
205
66.36.243.107 - - [10/Apr/2005:15:14:44 +0200] "GET /phpBB2/ HTTP/1.1" 404
205
66.36.243.107 - - [10/Apr/2005:15:14:45 +0200] "GET /msgboard/ HTTP/1.1" 404
207
66.36.243.107 - - [10/Apr/2005:15:14:45 +0200] "GET /foros/ HTTP/1.1" 404
204
66.36.243.107 - - [10/Apr/2005:15:14:45 +0200] "GET /portal/ HTTP/1.1" 404
205
......

Da der er tale om 3-4 request's/sekund, vil jeg vove den påstand, at det er
en (formentlig PHP) exploit, der er on the move.

> Summa, lad være med at bekymre jer om virus på Linux-desktoppen, jeg er
> ikke i tvivl om at medierne nok skal blæse det stort op den dag det
> sker at der er en reel trussel.

Som nævnt, har jeg i relation til emnet ClamAV valgt at tage udgangspunkt i
'malware på Linux' og ikke 'Virus på Linux desktop'.

I de tråde, jeg referede til, statede det hele med, at OP fik lukket al
trafik via port 25 pga. massiv spam.

Jeg vil ikke forholde mig til, om ClamAV ville kunne have forhindret dette,
men det er i hvert fald en kedelig måde at finde ud af, at man er
kompromitteret. Især, da der var tale om mails til phishing af VISA kort
oplysninger. Hmm gad vide om han snart får besøg af FBI?

-- 
mvh
Stig Johansen


 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 21:21 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *