Die "quasi" Sicherheit von Linux

[Heinz-Peter]

Um welche Adressen handelt es sich?

Ich habe paar Desktop Bilder gemacht. In dieser Zeit ist kein Browser und auch kein E-Mail Programm gelaufen. Hier ein Link zu den Bildern: http://img4web.com/g/3T7JX

Was denkt Ihr dazu?
Gruß Heinz-Peter

 

[spoensche]

Um welche Adressen handelt es sich?

Ich habe paar Desktop Bilder gemacht. In dieser Zeit ist kein Browser und auch kein E-Mail Programm gelaufen. Hier ein Link zu den Bildern: http://img4web.com/g/3T7JX

Kein Grund zum aufregen. Es handelt sich dabei um ARP- Request von einem deiner Rechner, der gerne wissen möchte wer die IP-Adresse 192.168.x.x hat. Bei den Anderen Verbindungen handelt es sich um ganz normale DNS-Anfragen, wie z.B. DNS Anfrage für www.oreilley.com, um die IP für die eigentl. Verbindung zu erhalten.

Das Script speicherst du unter /etc/cron.daily/update-iptables-blocklist.sh und machst es ausführbar. Das Script wird danach einmal tägl. ausgeführt.

 

[Anonymous]

Wie ich jetzt mit wireshark festgestellt habe ist es unter Linux mit dem verhalten nicht besser.

Gibt es unter Linux eine Möglichkeit so eine ungewollte Internet Aktivitäten zu kontrollieren und gleichzeitig zu verbieten?.

Ich will ja nicht böse daherreden, aber wenn das die Pakete sind vor denen du Angst hast, dann hat sich seit deiner Windowszeit vor allem an deinem allgemeinem Verständniss für Netzwerkgrundlagen nicht viel getan.
Natürlich auch diese Datenpakete kann man abschalten, nur wird dann wohl nichts mehr funktitionieren. zumindestens wirst du es so wahrnehmen.
Das sind einerseits regelmäßige normale ARP Anfragen in deinem privaten Netzwerk nach möglichen und eventuell konfiguierten Netzwerkarte die sich noch nie oder lange nicht gemeldet haben um festzustellen ob sie eventuell da sind und welche MAC-Adresse diese wohl hätten wenn sie denn da währen-, ohne solche Anfragen würde in deinem Netzwerk niemand wissen hinter welcher MAC-Adresse sich dein Router und deine Netzwerkkarten befinden, ist eventuell etwas schwierig abzuschalten da sie vom router kommen bzw, auf so eine dämliche Idee ist noch niemand wirklich gekommen, damit würde wohl gleich oder nach einiger Zeit der Ruhe im Netzwerk gar nichts mehr funktionieren bis du diese Anfragen wieder zulassen würdest..
Das meiste andere sind DNS Anfragen welche IP-Adresse sich hinter dieser Internetadresse verbirgt. Wenn du das verbietest, dann musst du im Webbrowser die IP-Adresse der Server eingeben und nicht den Servernamen und die meisten Links und Webseiten würden dann auch nicht funktionieren.
Das dritte was dort vereinzelt dazwischen verstreut ist, ist "Internet Group Management Protocol" das ist ein bischen schwieriger zu erklären, aber erstens läuft es auch nur lokal von deinem Router aus, und zweitens ist dort nichts los, dieses Protokoll würde man zB für IPTV oder ähnliche moderne Entertain-Funktionen benötigen.

robi

 

[Heinz-Peter]

Danke für Eure Antworten.
Habe noch paar Fragen, hoffe nicht sehr zu nerven.

Kein Grund zum aufregen. Es handelt sich dabei um ARP- Request von einem deiner Rechner, der gerne wissen möchte wer die IP-Adresse 192.168.x.x hat.

ARP- Request sagt mir im Moment nicht viel aber ich werde mit Tante Google herausfinden. Warum aber soll einer von meinen Rechner nach IP Adressen suchen wenn ich nur ein Rechner hier habe? Der Rechner hat ein WLAN-USB Stick, eine LAN Karte und eine Bluetooth Schnittstelle. Hier die iwconfig Ausgabe:

wlan0     IEEE 802.11bg  ESSID:"XXXXXXX"  
          Mode:Managed  Frequency:2.437 GHz  Access Point: 00:xx:xx:xx:xx:xx   
          Bit Rate=54 Mb/s   Tx-Power=20 dBm   
          Retry  long limit:7   RTS thr:off   Fragment thr:off
          Encryption key:off
          Power Management:off
          Link Quality=45/70  Signal level=-65 dBm  
          Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
          Tx excessive retries:964  Invalid misc:6361   Missed beacon:0

lo        no wireless extensions.

eth0      no wireless extensions.

Die DNS Anfragen sind eigentlich das was ich überhaupt nicht verstehe, hier muss ich @robi recht geben wenn er schreibt:

Ich will ja nicht böse daherreden, aber wenn das die Pakete sind vor denen du Angst hast, dann hat sich seit deiner Windowszeit vor allem an deinem allgemeinem Verständniss für Netzwerkgrundlagen nicht viel getan.

Nach dem was ich bis jetzt gelesen habe war ich der Meinung, das wenn ich im Browser eine Adresse eingebe z.B. http://www.linux-club.de dann wird das weiter zu einem DNS Server (der steht in meinem Fall bei meinem Internet-Anbieter) geschickt und der DNS Server kümmert sich um die Zuteilung der passenden IP Adresse.
Dazu schreibt @robi folgendes:

Das meiste andere sind DNS Anfragen welche IP-Adresse sich hinter dieser Internetadresse verbirgt. Wenn du das verbietest, dann musst du im Webbrowser die IP-Adresse der Server eingeben und nicht den Servernamen und die meisten Links und Webseiten würden dann auch nicht funktionieren.

Ich habe aber keine DNS Anfragen eingetippt im Browser, mein Browser (Mozilla Firefox) war aus. Wie kommen solche DNS Anfragen zu stande wenn ich die nicht selber eintippe?
Grüße Heinz-Peter

 

[spoensche]

ARP- Request sagt mir im Moment nicht viel aber ich werde mit Tante Google herausfinden.

ARP = Address Resolution Protocol.

Wenn dein Rechner im LAN eine IP sucht, dann stellt er an eine Anfrage:

who has 192.168.x.x

Wer hat den hier die IP 192.168.x.x? Will mit dir kommunizieren.

Warum aber soll einer von meinen Rechner nach IP Adressen suchen wenn ich nur ein Rechner hier habe?

Der eine Rechner hat ja eine IP als default Gateway in seiner Routing Tabelle eingetragen. Also fragt er nach, wer diese IP hat, damit diese Gerätschaft die Anfrage in höheren Protokollebenen ins Internet weiterleitet, weil dein Rechner sonst nicht weiss, wie er das Ziel erreichen kann.

Nach dem was ich bis jetzt gelesen habe war ich der Meinung, das wenn ich im Browser eine Adresse eingebe z.B. http://www.linux-club.de dann wird das weiter zu einem DNS Server (der steht in meinem Fall bei meinem Internet-Anbieter) geschickt und der DNS Server kümmert sich um die Zuteilung der passenden IP Adresse. ....
Ich habe aber keine DNS Anfragen eingetippt im Browser, mein Browser (Mozilla Firefox) war aus. Wie kommen solche DNS Anfragen zu stande wenn ich die nicht selber eintippe?

Ein DNS- Server kümmert sich um keinerlei Zuteilung. Ein DNS-Server ist quasi ein Telefonbuch, nur statt der Telefonnummer gibt er dir die IP auf deine Anfrage zurück. Kurz gesagt ein DNS-Server ist eine Zuordnungstabelle.

Wenn du keine DNS-Anfragen stellst, dann hat Wireshark auch nichts neues zum Anzeigen und es handelt sich dabei um die letzten von dir getätigten Anfragen. Weil wo nix ist kann Wireshark auch nix "aufnehmen".

 

[Heinz-Peter]

Am PC mit openSUSE würde ich die iptables-Befehle in den Abschnitt fw_custom_after_chain_creation() der Datei /etc/sysconfig/scripts/SuSEfirewall2-custom (die Du in /etc/sysconfig/SuSEfirewall2 aktivieren mußt) stellen.

Ich habe jetzt die zwei iptables-Befehle:

iptables -A INPUT -m set --match-set blocklist-hosts src -j DROP
iptables -A INPUT -m set --match-set blocklist-net src -j DROP

hier gesetzt:

# collect all rules and apply them in batch later. Set
# FW_USE_IPTABLES_BATCH="no" if you need the rules to be applied
# immediately.

fw_custom_after_chain_creation() {
    # these rules will be loaded after the various input_* and forward_* chains
    # are created.
    # You can use this hook to allow/deny certain IP protocols or TCP/UDP
    # ports before the SuSEfirewall2 generated rules are hit.
iptables -A INPUT -m set --match-set blocklist-hosts src -j DROP
iptables -A INPUT -m set --match-set blocklist-net src -j DROP

#example: always filter backorifice/netbus trojan connect requests and log them.
#for target in LOG DROP; do
#    for chain in input_ext input_dmz input_int forward_int forward_ext forward_dmz; do
#        iptables -A $chain -j $target -p tcp --dport 31337
#        iptables -A $chain -j $target -p udp --dport 31337
#        iptables -A $chain -j $target -p tcp --dport 12345:12346
#        iptables -A $chain -j $target -p udp --dport 12345:12346
#    done
#done

    true
}

und möchte wissen ob das so richtig ist. Ich bin hier unsicher weil am Ende der Zeile:

fw_custom_after_chain_creation() {

sind zwei ( ) normale Klammern und dann noch eine { geschweifte Klammer.
Kann mir jemand sagen, was die hier machen? :???:

Im nächsten Schritt soll ich die Datei /etc/sysconfig/SuSEfirewall2 bearbeiten.
Hier ein Ausschnitt der Datei im Original:

## Type:	string
#
# Do you want to load customary rules from a file?
#
# This is really an expert option. NO HELP WILL BE GIVEN FOR THIS!
# READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/SuSEfirewall2-custom
#
#FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
FW_CUSTOMRULES=""

hier nach Änderung:

## Type:   string
#
# Do you want to load customary rules from a file?
#
# This is really an expert option. NO HELP WILL BE GIVEN FOR THIS!
# READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/SuSEfirewall2-custom
#
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
FW_CUSTOMRULES=""

(Das Zeichen # in der Zeile: #FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" wurde entfernt.
Ist das OK?

Besser sollte das Ganze aber (einschließlich ip6tables) schon am Router passieren.

Ich habe hier von Telekom ein Speedport W 700V und kann nur url Adressen in die Firewall eintragen-blocken. Der "Speedport W 700V" ist also mein default Gateway (der steht zwischen meinem PC und dem Internet).

Wenn du keine DNS-Anfragen stellst, dann hat Wireshark auch nichts neues zum Anzeigen und es handelt sich dabei um die letzten von dir getätigten Anfragen. Weil wo nix ist kann Wireshark auch nix "aufnehmen".

Ich habe bemerkt das apper versucht im Hintergrund seine Update ausführen.
Keine Ahnung was noch bei mir so im Hintergrund läuft.
Auf ein Programm die Internet Aktivitäten überwacht und die mir meldet, bin ich bis jetzt nicht gestoßen.
Ich möchte schon gerne wissen, wer oder was, von meiner LAN oder WLAN Schnittstelle in die weite Welt auf Reise geht.

Ich möchte mich bedanken für Eure Unterstützung.
Grüße Heinz-Peter

 

[josef-wien]

Kann mir jemand sagen, was die hier machen?

http://tldp.org/LDP/abs/html/functions.html

Ist das OK?

Nein, die erste Zeile ist nutzlos, da die zweite Zeile einen anderen Wert festlegt. Du mußt die zweite Zeile löschen oder zum Kommentar machen.

Auf ein Programm die Internet Aktivitäten überwacht

Du solltest Dich mit AppArmor beschäftigen, in der Standardeinstellung sind den Programmen die "üblichen" (nicht nur auf das Internet bezogenen) Aktivitäten erlaubt.

P. S. Wenn jede der beiden Zeilen verdoppelt und bei der jeweils ersten Zeile

-j DROP

durch

-j LOG --log-prefix "SFW2-spoensche-Regeln " --log-tcp-options --log-ip-options

ersetzt wird, werden alle diesbezüglichen Vorkommnisse in /var/log/firewall (oder was sonst bei Dir festgelegt ist) protokolliert. Ich gehe davon aus, daß es Vorkommnisse nur dann geben wird, wenn Dein Router Pakete, die keine Antwort auf ein von Dir gesandtes Paket sind, durchlässt. Im übrigen wurden solche Pakete auch bisher schon verworfen, durch Deine Aktion passiert es ein paar iptables-Befehle früher.

 

[Heinz-Peter]

Kann mir jemand sagen, was die hier machen?

http://tldp.org/LDP/abs/html/functions.html

Ist das die Antwort? Das ist also ein Script.

P. S. Wenn jede der beiden Zeilen verdoppelt und bei der jeweils ersten Zeile

Den Satz verstehe ich nicht.

Soll ich die zwei iptables-Befehle:

iptables -A INPUT -m set --match-set blocklist-hosts src -j DROP
iptables -A INPUT -m set --match-set blocklist-net src -j DROP

ändern auf:

iptables -A INPUT -m set --match-set blocklist-hosts src -j LOG --log-prefix "SFW2-spoensche-Regeln " --log-tcp-options --log-ip-options

iptables -A INPUT -m set --match-set blocklist-net src -j LOG --log-prefix "SFW2-spoensche-Regeln " --log-tcp-options --log-ip-options

Danke für den Tipp AppArmor.

 

[spoensche]

Die Blocklists dienen eigentlich dazu, dass die Verbindungsversuche von bekannten und gelisten IP's, so früh wie möglich verworfen (bei mir sind sie Regel 3 und 4) und auch nicht geloggt werden.

Zum einen sind sie ja bekannt und man muss die Logs ja nicht unnötig befüllen, weil die Auswertung zum einen wesentlich umfangreicher, zum anderen die Konzentration nachlässt und somit möglicherweise etwas kritisches übersehen wird. Nebenbei müssen ja auch nicht mehr Regeln durchlaufen werden als unbedingt nötig.

Bei mir waren die Logs schlagartig um 50% kleiner.

 

[josef-wien]

Ist das die Antwort?

Funktionen gibt es in vielen Programmiersprachen, und sie erfüllen überall denselben Zweck. SuSEfirewall2 hat aber nichts mit JavaScript zu tun, das Programm ist ein Bash-Skript, und somit sind innerhalb der (in diesem Fall in eine eigene Datei ausgelagerten) Funktionen auch Bash-Befehle (hier Aufrufe des Programms iptables) enthalten (daher auch mein link zum Advanced Bash-Scripting Guide).

Den Satz verstehe ich nicht.

Das Ergebnis soll so aussehen:

iptables -A input_ext -m set --match-set blocklist-hosts src -j LOG --log-prefix "SFW2-spoensche-Regeln " --log-tcp-options --log-ip-options
iptables -A input_ext -m set --match-set blocklist-hosts src -j DROP
iptables -A input_ext -m set --match-set blocklist-net src -j LOG --log-prefix "SFW2-spoensche-Regeln " --log-tcp-options --log-ip-options 
iptables -A input_ext -m set --match-set blocklist-net src -j DROP

Zuerst wird protokolliert, dann verworfen. Ich habe "INPUT" durch "input_ext" ersetzt, da es hier um SuSEfirewall2 geht.

Bei Dir (Szenario 2.) ist es belanglos, ob das Verwerfen einige iptables-Befehle früher oder später erfolgt. Beim Szenario 1. ist es höchst sinnvoll, diese Müll- und Gefahrengut-Sendungen bekannter Störenfriede so früh wie möglich zu eliminieren. Die Protokollierung soll Deinen Wissensdurst befriedigen (sofern Dein Router diese Pakete durchlässt, was er nicht tun sollte).

Hast Du Dir schon einmal als root das Ergebnis von

iptables-save

(das sind Deine derzeit verwendeten Regeln) zu Gemüte geführt?

 

[Heinz-Peter]

Hallo!
Hier ein Ausschnitt aus der geänderten Datei /etc/sysconfig/scripts/SuSEfirewall2-custom

#
# Authors: Marc Heuse,
#          Volker Kuhlmann <kuhlmav@elec.canterbury.ac.nz>
#
# /etc/sysconfig/scripts/SuSEfirewall2-custom
#
# ------------------------------------------------------------------------
#
# This is file is for SuSEfirewall2 and is an example for using
# the hooks which are supplied to load customized iptables rules.
#
# THERE IS NO HELP FOR USING HOOKS EXCEPT THIS FILE ! SO READ CAREFULLY !
# IT IS USEFUL TO CROSS-READ /sbin/SuSEfirewall2 TO SEE HOW HOOKS WORK !
#
# ------------------------------------------------------------------------
#
# Note: always use iptables resp ip6tables without path. You are not actually
# calling the binary here. SuSEfirewall2 internally defines an alias to
# collect all rules and apply them in batch later. Set
# FW_USE_IPTABLES_BATCH="no" if you need the rules to be applied
# immediately.

fw_custom_after_chain_creation() {
    # these rules will be loaded after the various input_* and forward_* chains
    # are created.
    # You can use this hook to allow/deny certain IP protocols or TCP/UDP
    # ports before the SuSEfirewall2 generated rules are hit.
iptables -A input_ext -m set --match-set blocklist-hosts src -j LOG --log-prefix "SFW2-spoensche-Regeln " --log-tcp-options --log-ip-options
iptables -A input_ext -m set --match-set blocklist-hosts src -j DROP
iptables -A input_ext -m set --match-set blocklist-net src -j LOG --log-prefix "SFW2-spoensche-Regeln " --log-tcp-options --log-ip-options
iptables -A input_ext -m set --match-set blocklist-net src -j DROP 

#example: always filter backorifice/netbus trojan connect requests and log them.
#for target in LOG DROP; do
#    for chain in input_ext input_dmz input_int forward_int forward_ext forward_dmz; do
#        iptables -A $chain -j $target -p tcp --dport 31337
#        iptables -A $chain -j $target -p udp --dport 31337
#        iptables -A $chain -j $target -p tcp --dport 12345:12346
#        iptables -A $chain -j $target -p udp --dport 12345:12346
#    done
#done

    true
}

fw_custom_before_port_handling() { 
    # these rules will be loaded after the anti-spoofing and icmp handling

Ich habe einfach deine Code von 2013-Sep-11, 22:09 kopiert.
Hoffentlich ist das so richtig.

Wenn ich dich richtig verstanden habe ist die Datei /etc/sysconfig/scripts/SuSEfirewall2-custom ein Bash-Skript.
Ich habe hier ein Linux-Buch in dem steht das jeder Bash-Script in der ersten Zeile folgenden Text haben soll: #!/bin/bash
Die Zeile fehlt aber in der SuSEfirewall2-custom Datei.
Habe ich hier eine falsche Datei bearbeitet? Bin mir etwas unsicher. :???:

Hast Du Dir schon einmal als root das Ergebnis von

iptables-save

(das sind Deine derzeit verwendeten Regeln) zu Gemüte geführt?

Bis heute wusste ich gar nicht von dem Befehl.

Danke für Deine Geduld und Unterstützung.
Grüße Heinz-Peter

 

[josef-wien]

Hoffentlich ist das so richtig.

Ja.

#!/bin/bash
Die Zeile fehlt aber in der SuSEfirewall2-custom Datei.

Es ist keine Skript-Datei, sondern ein ausgelagerter Teil, der von der eigentlichen Skript-Datei /sbin/SuSEfirewall2 verwendet wird. Beim direkten Ändern von /sbin/SuSEfirewall2 wäre das Risiko einer unsachgemäßen Handhabung zu groß.

 

[Heinz-Peter]

Hallo @josef-wien!
Danke für die Erklärung zu der SuSEfirewall2-custom Datei.
Vielen Dank für Deine Unterstürzung. Ich denke ich habe jetzt genug Material bekommen um sich mit dem Problem beschäftigen.

Hallo @spoensche!
Dein Beitrag von 2013-Sep-11, 20:28 ist mir irgendwie untergegangen.
Manchmal sieht man den Wald vor lauter Bäumen nicht
Du schreibst: „Die Blocklists dienen eigentlich dazu, dass die Verbindungsversuche von bekannten und gelisten IP's, so früh wie möglich verworfen (bei mir sind sie Regel 3 und 4) und auch nicht geloggt werden.“
Ich habe es jetzt gelesen und zu Kenntnis genommen.
Ich bedanke mich für Deine Unterstürzung und Versuche die Informationen zu verarbeiten.

Grüße @Heinz-Peter

 

[Heinz-Peter]

Hallo!
Ich habe jetzt das Script /etc/cron.daily/update-iptables-blocklist.sh installiert.
Im Verzeichnis /var/cache/ habe ich jetzt eine Datei mit dem Namen ip-blocklist in der eine lange Liste mit IP-Adressen zu finden ist. Wähle ich aus der Liste eine IP-Adresse und kopiere sie in Browser Fenster dann werde ich mit der IP verbunden. Hier ein Beispiel: Ich kopiere die IP-Adresse 206.214.66.71 und füge sie ins Browser Fenster, danach kommt die Verbindung zu Stande Desktopfoto
Ich verstehe nicht den Sinn der Sache. Ich dachte die IP-Adressen in der /var/cache/ip-blocklist werden nicht angezeigt oder kommt wenigstens eine Warnmeldung.
Verstehe ich das falsch?
Gruß Heinz -Peter

 

[spoensche]

Ich verstehe nicht den Sinn der Sache. Ich dachte die IP-Adressen in der /var/cache/ip-blocklist werden nicht angezeigt oder kommt wenigstens eine Warnmeldung.
Verstehe ich das falsch?
Gruß Heinz -Peter

Die Datei /var/cache/ip-blocklist.save ist ähnlich der Ausgabe von iptables-save, nur eben für ipset. Die IP's in der Liste werden beim Verbindungsaufbau von extern von IP-Tables geblockt.

Du solltest die IP's definitiv nicht im Browser aufrufen. Sie stehen ja nicht umsonst auf der Blocklist.

 

[josef-wien]

Wenn Du im browser eine Adresse eingibst (entweder als Domänen-Name oder als IP-Adresse) und die Eingabe-Taste drückst, werden Pakete dorthin geschickt. Daraufhin kommen Pakete zurück, aus denen der browser die Antwort darstellt. Auf Grund einer der beiden iptables-Regeln

-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m conntrack --ctstate RELATED -j ACCEPT

werden diese Pakete akzeptiert, und das müssen sie auch, denn sonst wäre das Internet für Dich nutzlos, da der browser nie eine Antwort erhalten würde. Analog gilt das auch für das e-mail-Programm, YaST usw.

Die von spoensche genannten Blockierungs-Regeln dienen dazu, ungefragte Paketzusendungen bestimmter Absender zu verwerfen, also Pakete, die nichts mit von Dir gesandten Paketen zu tun haben. Solche Pakete würden durch das abschließende bedingungslose

-A input_ext -j DROP

ohnehin verworfen werden, die Blockierungs-Regeln machen das nur ein paar Befehle früher.

Prinzipiell ist es möglich, die Blockierungs-Regeln ganz an den Anfang zu stellen, dann kannst Du aber SuSEfirewall2 nicht verwenden, sondern mußt sämtliche iptables- und ip6tables-Befehle selbst initiieren.

 

[Heinz-Peter]

Hallo!
Ich Danke Euch für die Erklärung auf meine Frage.
Wie ist das aber wenn ich aus meiner Unwissenheit auf so einer Internet-Seite lande und lade z.B. runter eine manipulierte pdf Datei? Ich habe so einen Fall in einem Fernsehprogramm gesehen. Eine Frau öffnete unter Windows eine pdf Datei die eigentlich eine exe Datei war. Nach dem öffnen der Datei bekam die Frau nur eine Fehlermeldung – Datei kann nicht geöffnet werden. Im Hintergrund wurde aber ein Trojaner installiert, ab diesem Moment konnte ein Fremder vollen Zugriff auf ihren PC haben. Er hat praktisch auf seinem entfernten PC alles gesehen was sie auf ihrem PC schreibt.
Wir lernen daraus das man nicht alles herunterladen soll aber anderseits wie soll man sich wehren.

Gibt es eine Möglichkeit dass man gewarnt wird wenn man schon auf so einer Internet-Seite landet oder besser, bevor man dort landet?

Gruß Heinz-Peter

 

[spoensche]

Wie ist das aber wenn ich aus meiner Unwissenheit auf so einer Internet-Seite lande und lade z.B. runter eine manipulierte pdf Datei? Ich habe so einen Fall in einem Fernsehprogramm gesehen. Eine Frau öffnete unter Windows eine pdf Datei die eigentlich eine exe Datei war. Nach dem öffnen der Datei bekam die Frau nur eine Fehlermeldung – Datei kann nicht geöffnet werden. Im Hintergrund wurde aber ein Trojaner installiert....

Wenn die Seite schon länger für die Verbreitung von Malware, Trojanern etc. bekannt ist, dann warnt dich dein Browser. Du kannst unter Linux auf der .exe Datei rumklickern bis deine Maus durch ist oder dir der Arm abfällt. Solange du sie nicht per Wine öffnest passiert deinem Rechner nichts. Wenn man keinen Virenscanner hat, der beim doppelklick auf die vermeintl. PDF alarm schlägt ist es kein Wunder. Wenn die Schadsoftware noch "unbekannt" sein sollte, wird auch der Virenscanner kein Alarm schlagen. Wenn die Schadsoftware zusätzlich noch gezielt aktuelle Schwachstellen des A. Readers ausnutzt und höhere Systemrechte erlangt kannst du den Rechner direkt neu aufsetzen. Vorausgesetzt man bekommt es mit, weil der Schädling glücklicherweise keine Funktion hat, die es ihm ermöglicht sich vor dem Antivirenprogramm zu verstecken. Flash ist allerdings wesentlich anfälliger für Schwachstellen die es dem Angreifer ermögliche x-belibiegen Code auszuführen.

Besserung ist vorerst nicht in Sicht, weil die sichere Filterung von Eingabedaten auf Webseiten nicht so ernst genommen wird und daher per SQL- Injection, CSRF und XSS schnell dazu bewegt werden können jemanden Malware unterzujubeln. Als wären die Anwender mit dem System Fenster auf und hereinspaziert liebe Welt, nur zu.

 

[Heinz-Peter]

Flash ist allerdings wesentlich anfälliger für Schwachstellen die es dem Angreifer ermögliche x-belibiegen Code auszuführen.

Besserung ist vorerst nicht in Sicht, weil die sichere Filterung von Eingabedaten auf Webseiten nicht so ernst genommen wird und daher per SQL- Injection, CSRF und XSS schnell dazu bewegt werden können jemanden Malware unterzujubeln. Als wären die Anwender mit dem System Fenster auf und hereinspaziert liebe Welt, nur zu.

Gut zu wissen und nochmal DANKE.
Grüße Heinz-Peter

 

[spoensche]

Da net für.