Quarantäne Rechner

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo Forum Mitglieder,

    ich würde gerne ein Pi betreiben das als "Quarantäne Rechner" fungiert. Dazu folgendes:

    Wir bekommen öfters von unseren Kunden USB Sticks und CD/DVD´s. Nun sollen diese am PI ( Raspberry Pi 2, Model B, 1 GB) angesteckt werden und mittels CLAMAV getestet werden, bevor die Daten an internen (Windows)Rechnern geöffnet werden.

    Folgende Fagen und Probleme dazu:

    1. Ist es mit Raspbian und CLAMAV überhaupt möglich ein USB Stick auf Viren zu überprüfen? Wenn Nein, Alternativen?

    2. Ich habe ein externes DVD Laufwerk am PI angeschlossen. Das Laufwerk hat 2 USB Anschlüße. Egal ob ich das Laufwerk direkt ans PI hänge oder über einen USB Hub mit externer Stromversorgung, das Laufwerk erhält Strom aber steht nicht zur Verfügung, muss ich das zuerst mounten? Starte Raspbian direkt mit der GUI. Oder brauche ich direkt ein externes Laufwerk mit extra Stromversorgung?

    Vielen Dank schonmal für eure Hilfe und Anregungen.

    Grüße

    Tomatoe

  • Hallo Tomatoe,

    herzlich Willkommen in unserem Forum!

    zu 1. Natürlich kannst Du mit ClamAV jeden angeschlossenen und erkannten Datenträger auf Viren prüfen.

    zu 2. Welches DVD-Laufwerk setzt Du denn ein?
    Was gibt Dir folgende Linux-Kommando aus?

    Code
    lsusb
    mount
    df


    Normalerweise sollte das Laufwerk ansprechbar sein und spätestens in "Dateien" mit einem eigenen Eintrag erscheinen.


    Beste Grüße

    Andreas

    Ich bin wirklich nicht darauf aus, Microsoft zu zerstören. Das wird nur ein völlig unbeabsichtigter Nebeneffekt sein.
    Linus Torvalds - "Vater" von Linux

    Linux is like a wigwam, no windows, no gates, but with an apache inside dancing samba, very hungry eating a yacc, a gnu and a bison.

    Einmal editiert, zuletzt von Andreas (11. März 2015 um 12:27)

  • Hallo,

    bzgl. des Virenscans solltest du nur immer bedenken, dass du keine Garantie hast, dass ClamAV allen Schadsoftware erkennt. Ich weiß nicht, wie aktuell die Scanleistung ist, aber früher war die eher durchschnittlich.

    Wobei es AFAIK so wie so keine Anti-Schädlingssoftware gibt, die _alles_ erkennt. Wer sicher(er) sein will, sollte min verschiedene Scanner einsetzen. Teilweise gibt ja auch auch bei Linux-Versionen der kommerziellen Virenscanner.

    Gruß, noisefloor

  • Zitat

    bzgl. des Virenscans solltest du nur immer bedenken, dass du keine Garantie hast, dass ClamAV allen Schadsoftware erkennt.

    Hallo Noisefloor,

    100% Garantie bekomme ich nicht, das ist klar. Es geht nur darum das Risiko zu minimieren. Sollte der "Quarantäne Rechner" schon anschlagen, ist das Risiko minimiert, da die Daten dann erst gar nicht an anderen Rechnern geöffnet werden.

    MfG

    Tomatoe

    Einmal editiert, zuletzt von Tomatoe (11. März 2015 um 12:44)

  • Hallo Tomatoe,

    äh ... das DVD-Laufwerk war nicht angeschlossen?

    Und die Ausgabe von [font="Courier"]mount[/font] fehlt noch...


    Beste Grüße

    Andreas

    Ich bin wirklich nicht darauf aus, Microsoft zu zerstören. Das wird nur ein völlig unbeabsichtigter Nebeneffekt sein.
    Linus Torvalds - "Vater" von Linux

    Linux is like a wigwam, no windows, no gates, but with an apache inside dancing samba, very hungry eating a yacc, a gnu and a bison.

  • Hallo Andreas,

    sry voll verpeilt, hier die infos

    pi@raspberrypi ~ $ lsusb
    Bus 001 Device 002: ID 0424:9514 Standard Microsystems Corp.
    Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
    Bus 001 Device 003: ID 0424:ec00 Standard Microsystems Corp.
    Bus 001 Device 061: ID 0461:4d20 Primax Electronics, Ltd HP Optical Mouse
    Bus 001 Device 059: ID 0461:0010 Primax Electronics, Ltd HP Keyboard
    Bus 001 Device 055: ID 0e8d:1836 MediaTek Inc. Samsung SE-S084 Super WriteMaster Slim External DVD writer

    pi@raspberrypi ~ $ mount
    /dev/root on / type ext4 (rw,noatime,data=ordered)
    devtmpfs on /dev type devtmpfs (rw,relatime,size=470368k,nr_inodes=117592,mode=755)
    tmpfs on /run type tmpfs (rw,nosuid,noexec,relatime,size=94936k,mode=755)
    tmpfs on /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
    proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
    sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime)
    tmpfs on /run/shm type tmpfs (rw,nosuid,nodev,noexec,relatime,size=189860k)
    devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000)
    /dev/mmcblk0p1 on /boot type vfat (rw,relatime,fmask=0022,dmask=0022,codepage=437,iocharset=ascii,shortname=mixed,errors=remount-ro)
    pi@raspberrypi ~ $

    MfG

    Tomatoe

  • Hi,
    bei Windows kommen Mechanismen wie z.B. Active-X Elemente und wie der ganze Schrott aus Redmond noch so heisst, die als Wurmsoftware umgestrickt werden können mit ins Spiel.
    Ausserdem sind natürlich die Möglichkeiten von Backdoors über Systemfehler (z.B. zu lange/fehlerhafte URLs oder Kommandozeilen) ganz andere als unter Linux.
    Warum sollte also ein Virenscanner für Linux das alles zusätzlich zu seinen eigentlichen Aufgaben - nämlich das Linux System zu schützen - erkennen?
    Also ich bezweifle stark, dass es Virenscanner für Linux gibt, die aktuelle Windows-Schadsoftware erkennen.
    cheers,
    -ds-

  • Hallo Dreamshader,

    die Virenscanner, die ich unter Linux kenne, AVG und ClamAV, nutzen die gleichen Virendefinitionsdateien, wie die gleichen Anbieter sie auch für ihre kostenpflichtigen Windows-Versionen anbieten.

    Somit ist ein Linux-System, auf dem ein solcher Virenscanner läuft, sehr wohl in der Lage, auf einem Datenträger Windows-Viren zu erkennen.

    Den Versuch habe ich einmal unternommen. Auf meinem damals letzten in Betrieb befindlichen Windows-PC hat sich trotz Antiviren-Paket eines Marktführers ohne Besuch einschlägiger Seiten ein Virus eingeschlichen, der das gesamte System lahmgelegt hat. Den Marktführer habe ich - nachdem ich über einen Ubuntu-PC mit AVG die Datei identifiziert habe - über diesen Virus informiert. Nachdem drei Mails zu dem Thema nicht beantwortet wurden, habe ich den nächsten Vertrag (11 Monate später) nicht mehr verlängert. Die Vertreter des Marktführers waren stinkig und haben erst mal die Kosten für eine nicht beauftragte Verlängerung vom Konto abgebucht, weil sie sich nicht vorstellen konnten, dass jemand ohne ihr Anti-Virenpaket auskommen kann. Erst unter Androhung eines Anwalts haben sie ein paar Monate später das Geld rücküberwiesen.

    Soviel zum Stellenwert eines Kunden im Windows-Umfeld.

    Den damaligen Windows-Rechner habe ich mit der damals aktuellen Ubuntu-Version ausgestattet. Die ehemals unter Windows genutzten Festplatten befinden sich in einem kleinen Tower für USB-Festplatten - falls ich doch nochmal irgendwelche Dateien benötigen sollte. War bisher aber nur bei Quellcodes der Fall...

    Ob diese Virenscanner in der Lage sind, Linux-Viren / -Trojaner & Co. zu entdecken, vermag ich nicht zu beurteilen - ich teile da durchaus aber Deine Skepsis.

    Aber es ging in dem Thread ja um die Entdeckung möglicher Schadsoftware, die sich auf Windows-Systemen auswirken könnte. Und das erfüllt diese Software auf jeden Fall. Es gibt regelmäßige Updates - wie hochaktuell diese sind, kann ich allerdings auch nicht beurteilen. Aber sobald sich in der Windows-Welt etwas tut, werden die Anti-Virendefinitionsadateien eigentlich recht flott aktualisiert.


    Beste Grüße

    Andreas

    Ich bin wirklich nicht darauf aus, Microsoft zu zerstören. Das wird nur ein völlig unbeabsichtigter Nebeneffekt sein.
    Linus Torvalds - "Vater" von Linux

    Linux is like a wigwam, no windows, no gates, but with an apache inside dancing samba, very hungry eating a yacc, a gnu and a bison.

    Einmal editiert, zuletzt von Andreas (11. März 2015 um 15:17)


  • ...
    Aber es ging in dem Thread ja um die Entdeckung möglicher Schadsoftware, die sich auf Windows-Systemen auswirken könnte. Und das erfüllt diese Software auf jeden Fall. Es gibt regelmäßige Updates - wie hochaktuell diese sind, kann ich allerdinhgs auch nicht beurteilen. Aber sobald sich in der Windows-Welt etwas tut, werden die Anti-Virendefinitionsadateien eigentlich recht flott aktualisiert.
    ...


    Hi Andreas,

    also ich würde für so einen Fall sicherheitshalber einen ausgemusterten oder älteren PC nehmen, der mit dem aktuellen Zielsystem installiert ist und eine entsprechende Scannersoftware installiert hat.
    Der Vorteil eines Raspi würde sich imho nur auf Stromverbrauch und evtl. Anschaffungskosten beschränken ... und da würde m.E. genau an der falschen Stelle gespart ...

    btw: immer wieder interessant, Deine Berichte zu lesen ;)

    cu,
    -ds-

  • Hallo,


    ... und eine entsprechende Scannersoftware installiert hat.


    Was heißt denn "entsprechende Scannersoftware". ClamAV gibt's auch für Windows - das ist aber die selbe Engine mit den gleichen Signaturen, d.h. es ist zu erwarten, dass die Scanleistung gleich ist.

    Zitat


    Der Vorteil eines Raspi würde sich imho nur auf Stromverbrauch und evtl. Anschaffungskosten beschränken ... und da würde m.E. genau an der falschen Stelle gespart ...

    Nee. Der eigentliche Vorteil ist, dass ein Linux-System ziemlich sicher nicht von den Win-Viren beschädigt wird und du nicht alle Nase lang das System neu aufsetzen musst.

    Gruß, noisefloor

    Einmal editiert, zuletzt von noisefloor (11. März 2015 um 15:15)


  • Was heißt denn "entsprechende Scannersoftware". ClamAV gibt's auch für Windows - das ist aber die selbe Engine mit den gleichen Signaturen, d.h. es ist zu erwarten, dass die Scanleistung gleich ist.


    das muss ja nicht unbedingt ClamAV sein ... entsprechende Scannersoftware ist halt einfach die in diesem Betrieb/der Firma eingesetzte Antiviren-Software ...



    Nee. Der eigentliche Vorteil ist, dass ein Linux-System ziemlich sicher nicht von den Win-Viren beschädigt wird und du nicht alle Nase lang das System neu aufsetzen musst.

    Nope ... weil diese Viren ja dann auch vom Virenscanner des Windows-Quarantäne-Rechner erkannt und eliminiert würden.
    Werden sie von dem nicht erkannt, dann werden sie imho erst recht nicht von einem Raspi erkannt ... und sind im System/Netz des Benutzers.
    Da ist es dann egal, ob der Quarantäne-Rechner, egal ob Raspi oder Windows-PC, Schaden genommen hat oder nicht ;)

    cheers,
    -ds-

  • Hallo,

    Zitat

    Werden sie von dem nicht erkannt, dann werden sie imho erst recht nicht von einem Raspi erkannt ... und sind im System/Netz des Benutzers.


    Richtig. Aber dann musst du beim Raspi zumindest nicht den Raspi neu aufsetzen ;)

    Abgeshen davon hast du beim Raspi nicht das (Rest-) Risiko, dass die Schadsoftware durch irgendwelche Autostarts oder sonstige Mechnismen los rennt, bevor der der Scanner greift.

    Grundsätzlich würde ich aber auch, wenn man das so richtig ernsthaft machen will, einen autarken Windowsrechner nehmen, auf dem mehrere Virenscanner installierr sind, um das Restrisiko, dass doch irgendwas durchschlüpft, zu eleminieren (bzw zumindest zu minimieren).

    Gruß, noisefloor

  • Ich würde sogar noch einen Schritt weitergehen, und ein sauberes Plattenimage verwenden und jeden Tag in der Früh den Quarantäne-Rechner neu mit diesem Image aufsetzen.
    Einfach um zu vermeiden, dass sich was eingeschmuggelt hat, was (noch) nicht erkannt wurde.
    Um es noch sicherer zumachen, könnte man sogar vor jedem Scannen eines Datenträgers den Quarantäne Rechner mit dem Image neu installieren ... das wäre dann wohl die Lösung für paranoia-geplagte ;) ...

    cu,
    -ds-


  • Was heißt denn "entsprechende Scannersoftware". ClamAV gibt's auch für Windows - das ist aber die selbe Engine mit den gleichen Signaturen, d.h. es ist zu erwarten, dass die Scanleistung gleich ist.


    Nein, die Erwartung ist trügerisch: Ich würde gerne sehen, wie unter Linux die Heuristiken anschlagen, dass sich eine Windows Exe "ungewöhnlich" verhält. Da dies komplett wegfällt, wird die Scanleistung geringer sein.

    Wenn es nur um eine Überprüfung anhand von Signaturen ist, würde ich eher empfehlen das ganze mit VirusTotal.com zu überprüfen, z.B. übers Kontextmenü, da dort deutlich mehr Scanner hinter hängen als man lokal installiert hat.

  • Zitat


    ..würde ich eher empfehlen das ganze mit VirusTotal.com zu überprüfen, z.B. übers Kontextmenü

    Wenn schon, dann richtig.
    Passt aber nicht zu den hier gestellten Anforderungen:

    Zitat

    Wir bekommen öfters von unseren Kunden USB Sticks und CD/DVD´s


    Eine Überprüfung würde je nach zu prüfendem Datenvolumen ewig dauern.

  • Hallo und vielen Dank für eure zahlreichen Anregungen, sehe schon hier sind Fachleute :thumbs1:

    doch ich habe noch ein paar Fragen:

    1. Wie kann ich mir das mit Virustotal.com vorstellen? Muss ich die Daten kurzfristig hochladen?

    2. Wie lange dauert ein Scan von sagen wir mal ca. 20 MB? Wie aktuell sind die Scanner bzw welche Scanner stecken dahinter?

    3. Habt ihr noch eine Idee warum das externe DVD Laufwerk Strom bekommt aber nicht funktioniert. Siehe dazu mein Log weiter oben im Forum :s

    Vielen Dank für eure Mühen

    MfG

    Tomatoe


  • 1. Wie kann ich mir das mit Virustotal.com vorstellen? Muss ich die Daten kurzfristig hochladen?

    2. Wie lange dauert ein Scan von sagen wir mal ca. 20 MB? Wie aktuell sind die Scanner bzw welche Scanner stecken dahinter?


    Zu 1. es wird erstmal ein Hash hochgeladen (glaub SHA256 wars) und anhand diesem wird geprüft, ob die Datei schon mal gescannt wurde. Falls nicht (oder zu lange her), wird die Datei hochgeladen und Virustotal prüft die Datei selber

    Zu 2. Der eigentliche Scan dauert nicht lange, bis die Datei allerdings dran ist mit scannen, kann schonmal eine halbe Minute dauern. Die Scanner sind praktisch immer aktuell, es werden alle 15 Minuten die neusten Definitionen aktualisiert.

    Für diejenigen, die VirusTotal.com bisher nicht kennen: Besitzer davon ist Google, aber auch Microsoft nutzt aktiv diesen Dienst (daher Integration in ProcessExplorer und Autoruns von SysInternals, was von Microsoft aufgekauft wurde)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!