Gibt es für Linux Malware-Scanner (nicht Windows-Malware)

[linuxnutzer]

Gibt es für Linux Malware-Scanner (nicht Windows-Malware)

Es geht also nicht darum unter Linux nach Malware für Windows scannen, sondern unter Linux nach Malware für Linux.

 

[Sunweb]

Sicherlich gibt es sowas.
Google linux malware scanner.
Erster Treffer, fertig.

Faule Leute klicken hier:
https://geekflare.com/de/linux-security-scanner/

 

[duAffentier]

Google genutzt?
ClamAV - Chkrootkit - Lynis - MalDetect?

 

[sedot]

Lesenswert in dem Zusammenhang.
https://en.m.wikipedia.org/wiki/Linux_malware

 

[Linuxfreakgraz]

Das ist sehr rudimentär, und die Scanner sind eher Mail Server Scanner damit nicht eine Windows Malware an ein Windows Gerät versendet wird.

Selbst eine Microsoft Studie aus dem Jahre Schnee sagt das Viren durch zutun des Users auf das System kommen. Durch aktives installieren von Software aus unsicheren Quellen.

Mal abgesehen davon dass das Aktuelle Problem Smartphone Viren sind.

 

[andy_m4]

unter Linux nach Malware für Linux.

Man muss dazu sagen, Virenjagd unter Linux ist nicht so üblich. Es gibt zwar hier und da Anti-Malware-Lösungen. Aber so eine richtige Infrastruktur wie unter Windows üblich (mit Antivirlabors die Viren aus freier Wildbahn analysieren und in Datenbanken einpflegen etc.) gibts nicht.
Es gibt Rootkit-Scanner wie rkhunter oder chkrootkit

Ansonsten kann man auch Tools nutzen, um Systemveränderungen zu erkennen wie tripwire oder mtree. Wo man also vorher eine Bestandsaufnahme macht (Prüfsummen) und beim testen guckt, ob sich ungewollt etwas geändert hat (hat natürlich 'ne sehr gute "Erkennungs"rate; bedingt aber auch, das bei jeder Änderung/Updates auch die Bestandsaufnahme aktualisiert wird).

 

[foofoobar]

Natürlich haben die üblichen Verdächtigen die nie durch problematische Produkte auffallen was im Angebot: https://www.paloaltonetworks.de/resources/datasheets/cortex-xdr

Bei den eher typischen Einsatzszenarien von Linux für Serverkram stellt man eher WAFs, IDSe und ähnliches Zeug um die Kisten drum rum.

 

[Snakeeater]

Sicherlich gibt es sowas.
Google linux malware scanner.
Erster Treffer, fertig.

Faule Leute klicken hier:
https://geekflare.com/de/linux-security-scanner/

Ich finde den Post ziemlich irreführend. Die meisten dort erwähnten Tools sind keine Viren/Malwarescanner wie sie ein Windowsnutzer erwarten würde!

Und wenn ich bei einem Tool dort sehe, dass der letzte Commit 2023 war, wird mir ein wenig übel. Die meisten Tools sind nicht für den normalen User gedacht, sondern benötigen Sachkenntnis.

Einzig ClamAV könnte man sich theoretisch mal anschauen, aber auch da muss man ein bisschen verstehen was man da macht.

Für den Heimnutzer eines Linuxsystem machen die meisten Tools wenig bis gar keinen Sinn und es wäre viel eher anzuraten einen vernünftigen Umgang mit Daten aus dem Internet (Browsing, Email etc.) sich an zu gewöhnen.

Edit:
Rkhunter ist von 2018, lol.

 

[GrillSgt]

Die meisten Virenscanner die auf Linux laufen, gibt es für das Erkennen von Malware etwa auf Mail- oder Fileservern. ClamAV kann man machen, kann man aber auch lassen. Die Erkennungsleistung ist verglichen mit kommerziellen Werkzeugen ein schlechter Witz. Windowsclients kann man damit jedenfalls nicht effektiv vor infizierten Dateien auf Netzwerkshares schützen.

Für das Linuxsystem selbst gesehen brauch es auch eigentlich keinen Virenscanner. Strukturell gesehen sind alle Unixoiden Systeme relativ unanfällig sofern man, wie vorgesehen, nur mit normalen Userrechten arbeitet.

 

[andy_m4]

Die Erkennungsleistung ist verglichen mit kommerziellen Werkzeugen ein schlechter Witz.

Sind aber die kommerziellen Dinger auch, wenn wir mal ehrlich sind. :-)
Unter Windows ist Antivir seit vielen Jahren quasi flächendeckend ausgerollt und trotzdem war/ist sowas wie Ransomware sehr erfolgreich.

Strukturell gesehen sind alle Unixoiden Systeme relativ unanfällig sofern man, wie vorgesehen, nur mit normalen Userrechten arbeitet.

Naja. Selbst Userrechte bedeuten ja quasi schon einen Totalschaden, weil alle meine Daten betroffen sind.

 

[Term0al]

Gibt es für Linux Malware-Scanner (nicht Windows-Malware)

Es geht also nicht darum unter Linux nach Malware für Windows scannen, sondern unter Linux nach Malware für Linux.

Als jemand der seine Linux- oder Windows-Server scannen will, empfehle ich persönlich Yara. Mit entsprechenden Yara-Regeln entweder schon vorhanden oder selbst erstellten, benutze ich es nur noch,

Für zuletzt aufgetauchte Malware wie Inc-Ransomware, Lynx, Pumakit, Perfctl.. usw. sind Yara-Regeln verfügbar oder lassen sich sehr leicht kompilieren.

Rkhunter.. naja, da die Datenbank kaum noch aktualisiert wird, sehe ich das Tool nicht mehr als zuverlässigen Rootkit-Scanner. Wofür ich Rkhunter heute noch nutze,, Nach der Erstinstallation führe ich es einmal aus, um u.a. spätere Änderungen bezüglich Checksummen, Rechten und anderen sicherheitsrelevanten Einstellungen vergleichen zu können bzw. zu optimieren.

Aide wäre eine mindestens ebenso gute Alternative, ist aber für Anfänger kaum zu empfehlen. Eine minimale Konfiguration würde zwar ausreichen um es ein wenig zu verstehen, setzt aber dennoch gewisse Kenntnisse voraus.

Lynis kann ich auch empfehlen um sein System ein wenig zu härten.

 

[andy_m4]

empfehle ich persönlich Yara

Netter Tipp.
Wäre übrigens schön, wenn man solche Sachen einfach mal verlinken würde. Wenn man danach sucht, stößt man ja nicht unbedingt auf das, was Du meintest.
-> https://virustotal.github.io/yara/

 

[Term0al]

@andy_m4
- Zu spät gesehen. Sorry

 

[GrillSgt]

Sind aber die kommerziellen Dinger auch, wenn wir mal ehrlich sind. :-)

Na ja, die Erkennungsleistung lag zumindest bei den mir bekannten Tests (AV-Test) schon sehr deutlich unter den kommerziellen Produkten. Bei Windowsschädilngen war die Erkennung - zumindest früher katastrophal. Bei Linuxschädlingen sah es etwas besser aus.

Ist auch irgendwo verständlich, die OpenSource Community kann nicht ganze Analyseteams beschäftigen die zeitnah Signaturen bereitstellen. Und das ist halt eben das Problem bei dem Katz-und-Maus Spiel.

 

[andy_m4]

Erkennungsleistung lag zumindest bei den mir bekannten Tests (AV-Test) schon sehr deutlich unter den kommerziellen Produkten

Dem würde ich auch gar nicht widersprechen wollen.
Aber ich denke, durch organisatorische und andere technische Maßnahmen erreicht man einen so signifikanten Sicherheitsgewinn, das es kaum noch eine Rolle spielt, welche Erkennungsleistung die Antivir-Klingel hat.
Auf der anderen Seite: Wenn mein Sicherheitskonzept stark abhängig ist von Erkennung, dann nützen mir auch 99% Erkennungsleistung nichts.

 

[linuxnutzer]

Ansonsten kann man auch Tools nutzen, um Systemveränderungen zu erkennen wie tripwire oder mtree.

mein Interesse geht in diese Richtung.

Mich würde interessieren welches Script welche Dateien löscht. Vielleicht scheitere ich bei auditd bei der Konfiguration. Ich sehe nur, dass eine Datei gelöscht wurde, aber nicht wodurch.

Letzter Experiment-Status.

-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete

Das Ergebnis von Lynis muss man beurteilen können, kann ich nicht wirklich.

https://www.computerweekly.com/de/ratgeber/Mit-OpenVAS-in-Netzwerken-nach-Schwachstellen-suchen ist auch interessant, aber ich schaffe da die Einrihtung nicht, dh die Webseite ist nicht erreichbar, vielleicht irgendwas nicht aktiviert bei OpenVAS.

 

[andy_m4]

Ich sehe nur, dass eine Datei gelöscht wurde, aber nicht wodurch.

Ja. Ich weiß auch gar nicht, ob das man auditd geht.
Das wäre für mich eher ein Fall für dtrace.
Da kann man dann Syscalls überwachen. Zum Beispiel das löschen (unlink) und dann sowas hier machen:
dtrace -n 'syscall::unlink:entry { printf("%s unlinking %s\n", execname, copyinstr(arg0)); }'

bzw. SystemTap, was so die Entsprechung für Linux wäre.

Das Ergebnis von Lynis muss man beurteilen können

Das stimmt. Aber das Problem hat man ja immer irgendwie.
Außerdem gibt Lynis ja dann auch weiterführende Hinweise.

OpenVAS

OpenVAS hab ich noch nicht verwendet oder es ist so lange her, das ich das nicht mehr weiß. :-)

 

[Pummeluff]

OpenVAS hab ich noch nicht verwendet oder es ist so lange her, das ich das nicht mehr weiß. :-)

In meiner Arbeit hatten wir uns mal vor vielen Jahren an OpenVAS versucht, haben es aber nicht zum Laufen bekommen. Damals wurde dann stattdessen Nessus angeschafft.

Nessus ist eigentlich auch ziemlich gut. Hat viele CVEs gefunden, wobei auch einige False Positives dabei waren. Gerade bei Enterprise-Distributionen werden Security Fixes auf alte Versionen backported. Und damit kommen solche Scanner gern mal nicht zurecht.

Ich finde den Post ziemlich irreführend. Die meisten dort erwähnten Tools sind keine Viren/Malwarescanner wie sie ein Windowsnutzer erwarten würde!

Könnte daran liegen, dass Linux eben andere Angriffsvektoren hat als Windows.

Und wenn ich bei einem Tool dort sehe, dass der letzte Commit 2023 war, wird mir ein wenig übel.

Warum? Es geht ja nicht darum, die neuesten Virensignaturen zu bekommen, die alle paar Stunden aktualisiert sein müssen sondern eher darum, schädliche Skripte oder Prozesse zu finden.

Die meisten Tools sind nicht für den normalen User gedacht, sondern benötigen Sachkenntnis.

Und das ist auch gut so!

Einzig ClamAV könnte man sich theoretisch mal anschauen, aber auch da muss man ein bisschen verstehen was man da macht.

Gerade das halte ich für unsinnig. ClamAV dient in erster Linie dazu, Windows-Viren auf Samba-Shares oder in Mails zu finden. Und da gibt's dann wohl bessere Virenscanner. Wir hatten mal ClamAV testweise im Einsatz. Soweit ich mich erinnern kann, fehlte da der On-the-fly-Scan.

Eine Sache hat ClamAV aber mit seinen Windows-Pedanten gemeinsam. Es bremst das System aus.

Für den Heimnutzer eines Linuxsystem machen die meisten Tools wenig bis gar keinen Sinn und es wäre viel eher anzuraten einen vernünftigen Umgang mit Daten aus dem Internet (Browsing, Email etc.) sich an zu gewöhnen.

Das ist korrekt. Da kommt aber auch wieder das Aber:

Ich hatte mich mal auf zwielichtigen Warez-Seiten rumgetrieben. Danach sponn mein Firefox. Irgendwie umging der Browser ab dem Zeitpunkt meinen Werbeblocker-DNS. Ich musste dann tatsächlich das Profil des Browsers löschen, um das wieder in Ordnung zu kriegen. Die Gefahr des Eindringens war hier eher gering, bzw. wurde noch nicht mal das Home-Verzeichnis kompromitiert.

Und bei E-Mail:
Wir haben auf Arbeit Outlook. In meinen Augen ist das der schlechteste E-Mail-Client, den man sich als Privatanwender antun kann. Eventuell liegt's nur an den Einstellungen. Zumindest zeigt Outlook nicht die Absende-Adresse sondern nur den Namen an, also "sparkasse" statt "sparkasse <gib.mir.deine@daten.com>". Halte ich für fatal. Ich nutz Claws-Mail. Das zeigt grundsätzlich die komplette Adresse an. Genauso öffnet es nicht ungefragt durch einen Klick jeden blöden Anhang. KMail und Thunderbird verhalten sich ähnlich. D.h. dass es kein Outlook unter Linux gibt, verhindert schon mal einige Sicherheitsprobleme.

 

[foofoobar]

mein Interesse geht in diese Richtung.

Mich würde interessieren welches Script welche Dateien löscht. Vielleicht scheitere ich bei auditd bei der Konfiguration. Ich sehe nur, dass eine Datei gelöscht wurde, aber nicht wodurch.

Man wird sich muss sich durch die fork()/exec()/clone()/etc. zurückhangeln müssen um Papa oder Mama von /bin/rm zu finden.

Und es schadet überhaupt nicht bevor man so was macht sich mal ein paar Bücher über Unix-System Programming und grundlegendes Design von Unix zu gemüte zu führen.

Ergänzung (Dienstag um 18:50)

Nessus ist eigentlich auch ziemlich gut. Hat viele CVEs gefunden, wobei auch einige False Positives dabei waren. Gerade bei Enterprise-Distributionen werden Security Fixes auf alte Versionen backported. Und damit kommen solche Scanner gern mal nicht zurecht.

Dieser ganze Profi-Scanner-Müll hat die gleichen Probleme, total nervig.

 

[andy_m4]

Nessus ist eigentlich auch ziemlich gut. Hat viele CVEs gefunden

Wobei das ja potentiell nur bei veralteter Software auftreten kann. Dafür zu sorgen, das man immer auf dem aktuellsten Stand ist dürfte da besser sein als solche Scans.
Aber ja. Wenn man Langeweile hat, kann man das natürlich trotzdem mal machen. :-)

fehlte da der On-the-fly-Scan

Das könnte man ja machen. Das muss ja der Virenscanner nicht unterstützen, sondern man hängt sich einfach in den entsprechenden Hook.

Könnte daran liegen, dass Linux eben andere Angriffsvektoren hat als Windows.

Sowohl als auch.
Also eine potentiell schädliche Datei runterladen kann man natürlich auch unter Linux. Also jetzt nicht nur Datendateien der irgendeine Applikation exploiten, sondern ja auch Binaries oder Skripte.
Allerdings sind solche Art von Schädlingen unter Linux nicht so verbreitet. Aber der Angriffsvektor bleibt natürlich trotzdem.

Die Gefahr des Eindringens war hier eher gering, bzw. wurde noch nicht mal das Home-Verzeichnis kompromitiert.

Wenn man will, kann man den Browser zusätzlich noch sandboxen.
Entweder mit Tools wie firejail. Oder ganz klassisch und trivial, in dem man einen User-Account dafür anlegt und über das Home-Verzeichnis auch noch einen Layer drüberlegt, den man nur weg nimmt, wenn man den Browser updatet.

Ich nutz Claws-Mail.

Ja. Claws Mail ist echt ein solider Mailclient.
Hat keine moderne GUI, was ich aber als Pluspunkt sehe. :-)
Wo wir schon bei Mail sind: eMails immer als Text-only anzeigen lassen. Die sehen dann vielleicht nicht so schick aus, aber dafür gibts auch nicht so viele Möglichkeiten Links zu verfälschen oder Spy-Pixel einzubauen.