Ubuntu server és desktop víruskergető

Linux-security

Sziasztok!

Adott a kérdés :) Keresek olyan vírusírtőt(keresőt) ami mind a kettőn fut :) a lényeg annyi lenne még, hogy ne zabálja az erőforrást, és ne csak a rendszer fájljaiban keressen, hanem az ügyfelek cuccai közt. Illetve adott esetben FTP-t is nézze (amit tölt fel akkor azt fésülje át, de ez nem feltétlen fontos). RKHunter és Clamav kizárva :) Remélem érthető voltam :)

( fathom | 2015. 03. 18., sze – 08:58 )

Felesleges. Amúgy a vírusirtó úgy általában. Amúgy pont a 2 linuxos vírusirtót zártad ki, szóval érdekes a kérdésed.
Ha vírusokat akarsz fogni, akkor állítsd be SeLinux-ot, tripwire-t, és társait. Esetleg használj QubeOS-t és akkor minden külön lesz virtualizálva, gyakorlatilag nincs esélye egy vírusnak.

FathoM

Szerintem erősen nézőpont kérdése, hogy mit tekintesz vírusnak... s, mi ellen is védekezel valójában?

A klasszikus vírus Linux platform esetén valóban nem nyert nagy teret az idő folyamán, de lássuk be ez nem csak az ő érdeme.
Elkerülésének főbb okának a "hozzáértőbb" felhasználók körtét, valamint a potenciálisabban alacsonyabb célközönséget illetve a disztribúciók sokszínűségét tekintem (ellenben nézd meg pl népszerű Linux alapú Androidnál szaporodó kártékony kódokat -bár megjegyzem felhasználói felelőtlenség miatt-, mégis "hozzáértőbb" felhasználók is elkövetek, amikor pl a Waze vagy akármilyen új app-ra ráböknek, hogy telepít, s reménykednek, hogy amikor kiírja, hogy internet és contact lista hozzáférés kell, akkor nem kártékonyan valami spamdb-kbe küldi szét az adatokat-).
Pl ShellShock bug kapcsán, ha a rendszer nem up-to-date, egyszerű dhcp IP-kérés során tetszőleges kód futtatható volt.

Manapság egy XSS-t is sokszor vírusnak lehet már tekinteni (de nevezzük inkább kártékony kódnak ezeket)...
Akár virtualizáltan akár SeLinux-on futtatod a böngészőt, a benne használt "web alkalmazás" (mert tegyük fel, hogy használod!) az elvárt működéstől eltérő funkciót valósít meg... tőled független olyan 3rd party libre hivatkozik az alkalmazás készítője, amit egy feltört szerver szolgál ki...

Ilyen esetekre két megoldás van:
- igénybe veszel egy szolgáltatást (pl "vírusírtó", ami inkább már "végponti védelem" valójában) és bízol benne, hogy a program által használt legfrissebb adatbázis tartalmazza az éppen meglátogatott oldal esetleges kártékony kódját felismerő mintáját. Persze itt van a mi van ha, de még mindig több mint ha nincs!

- nem használsz semmilyen webalkalmazást, lynx-el böngészel, minden weboldalt egy másik chrootolt környezetben futó lynx-el nyitsz meg egy sötét szobában és rettegsz, hogy nehogy baj legyen :-D

- leszarod, foglalkozol vele akkor, ha baj van... minek biztosítás, ha úgyse fogok karambolozni...

Van abban igazság, amit írsz, de szerintem akkor sem az a jó gondolatmenet kártékony kódok szűrésére, hogy csinálok egy eszméletlen nagy listát és keresgetek. Főleg mivel jön Józsi és csinál egy új kódot, amiről X ideig senki sem fogja tudni, hogy kártékony, egy ilyen cucc sem fogja kiszűrni. Ugyanakkor egy rendesen Beállított Selinux simán megmutatja neked, hogy a böngésző meg szerette volna piszkálni mondjuk azokat a doksikat, amikhez nem nyúlsz böngészővel. Persze könyvjelzőlopás meg ilyenek ellen ez sem véd (mondjuk az ellen ki kell kapcsolni egy rakás html5 cuccot).

FathoM

lemaradt a fentiekből, hogy
kártékony kód + nagy terjedési faktor ~= "vírus"

az ellen pedig szerintem igen is lehet védekezni megfelelő adatbázissal...

Fontos megemlítenem, hogy első sorban nem az NSA és/vagy hacker pistike egyedi kódjára jó egy ilyen védelem...
Megfelelően felépített célzott támadás ellen szerintem a SELinux sem véd meg megfelelően... max nehezíti és csökkenti a támadási vektorokat... ennyi.

Minden esetre, ha hacker pistike kódja nagy méreteket kezd ölteni, akkor biztos lesz arra is pattern előbb utóbb... kérdés, hogy nálad is lesz minta... vagy minek az.

Van abban igazság, amit írsz, de szerintem akkor sem az a jó gondolatmenet kártékony kódok szűrésére, hogy csinálok egy eszméletlen nagy listát és keresgetek.

A byte pattern alapú víruskeresés már a DOS-os időszakban idejétmúlttá vált, a heurisztikus vírusok megjelenésével. Ezek meg tudták változtatni például a decoder loop-jukat úgy, hogy olyan, random mennyiségű "junk" utasítást szúrtak bele, amik a dekódolás működését nem befolyásolták, de a pattern alapú keresést hasztalanná tették. Ekkor jelentek meg a heurisztikát használó antivírusok (Pl.: Dr-Web, ThunderByte AV), amik egy sandbox-ban szimulálták a program első X utasítását, és annak gyanús viselkedése esetén titulálták a fájlokat vírusnak. Ez a technológia természetesen már minden mai antivírusban megtalálható. Ennek alapján úgy gondolom, hogy a többi védelmi megoldás kiegészítéseként mindenképpen érdemes antivírust használni.

Egyébként megérne egyszer egy topicot, kinek mi a véleménye, - lehet lehurrogtok és tudom naiv felvetés...,

- vajon mi vihet rá gondolkodó embereket, hogy maximálisan kiszolgáltassanak céges hálózatokról minden műszaki információt, ilyen cloud-os "security check" szolgáltatások igénybevételével? Egyáltalán mit garantál? Ad-e, adhat-e olyan tippet, amellyel valóban biztonságosabbra (tőlük is..!!) konfigurálhatod a hálózatot. (Vagy megtart jó kis "hátsó kapu információkat" az analizált rendszerekről? (magának és mindazoknak akitől ezért pénzt kap...?) Ki és miben bízhat egyáltalán? Kérdezem ezt főként annak függvényében, hogy ma már a hálózati eszközök "firmware"-ének átírásával is lehet vírusokat telepíteni...

( secretx v | 2015. 03. 18., sze – 09:08 )

comodo-t teszteltem régebben, működik, viszont brutál erőforrásgyilkos szerveren...

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

( kallaics | 2015. 03. 18., sze – 10:23 )

Mivel nem írtad,hogy ingyen kéne talán ez is játszik :)
Mi NOD32-t használunk a hostingnál server oldalon és egész jól megy.
A NOD32 Mail Security és File Security van megvéve.
Szépen meg állítgatható. Erőforrásban még nem láttam volna, hogy túl sokat enne.
Régen (Intel Core2Duo 2,66GHz procin, 2GB RAM-on futott), most már egy újabb vas van alatta.

( uid_20269 | 2015. 03. 18., sze – 10:55 )

Bitdefender for Unices illetve Bitdefender Free
--
God bless you, Captain Hindsight..

( Gollam | 2015. 03. 18., sze – 11:51 )

Pár éve néztem és az AVAST-nak volt linuxos kliense is. Nézz rá, kulturáltnak tűnt.

( gemnon v | 2015. 03. 18., sze – 22:11 )

Ha "for commercial use" kell ingyen olyan sok lehetőség nincs.

ClamAV - ezt kizártad
Comodo - nagyon erőforrásigényes
AVG - ha jól tudom nem fejlesztik, de az új signature-okat ettől még megkapja.

( nagysa v | 2015. 03. 19., cs – 13:47 )

Avira
Régen használtam linuxon. Tapasztalat nincs.