Linux desktop anti-virus ervaringen - Linux en overige clients

zondag 30 januari 2005 18:03

Acties:

Verwijderd

Topicstarter

"More Than 90% Of Linux Systems Have Never Been Infected By A Virus, New Evans Data Survey"
Dit artikel van de Evans Data Corporation stelt onder andere dat 92% van de ondervraagden nooit door een virus geinfecteerd zijn op hun Linux systemen. Wormen en virussen voor Linux komen op het moment dus niet veel voor. Dit wil echter niet zeggen dat virussen niet op linux systemen kunnen voorkomen. De Slapper-worm is een recent voorbeeld van een worm die zich via linux systemen verspreidt.

Dat 92% van de ondervraagden nooit door een virus of worm op zijn (of haar) linux systeem getroffen is, betekent dat 8% dit wel is. En met het steigend aantal Linux gebruikers wordt het voor de virusschrijvers steeds aantrekkelijker om malware voor Linux te schrijven.

Er is echter niet veel informatie te vinden over gebruikerservaringen van stukjes programmatuur die wormen en virussen voor desktop gebruikers onder Linux tegen gaan, vandaar deze post.

Ik ben erg benieuwd naar jullie ervaringen op het gebied van anti-virus software voor desktop gebruikers onder Linux. Het gaat me daarbij vooral om de volgende punten:

gebruikte software
performance
updates, frequentie en dekking van nieuwe "DAT" files.
algemeen, ben je tevreden met de software?

Daarnaast is er, voor de slachtoffers van unix-virussen en wormen (voor zover die aanwezig zijn), natuurlijk ook de nodige ruimte om even uit te huilen

.

zondag 30 januari 2005 18:10

Acties:

Verwijderd

Voor zover mij bekend is feitelijk elk virus/worm voor Linux een server-infectie, dus iets a la Apache of sendmail. Er is mij geen enkel fatsoenlijk desktop-virus bekend voor Linux. Gevolg is dan ook dat er geen desktop anti-virus software is. De anti-virus software die er voor Linux is, is voor de servers bedoeld, en ruimt daar Windows-virussen op voordat deze op de Windows-clients terechtkomen. Soort van barriere dus.

zondag 30 januari 2005 18:12

Acties:

Verwijderd

Mja, het is een feit dat het meest gebruikte platform de meeste meuk naar zich toe zal trekken, simpelweg omdat het bereik van de meuk schrijvers op zo'n manier het grootst zal zijn.

Afgezien van dat, een jaar of 2 geleden heb ik wel eens zitten spelen met clamav icm dazuko onder linux. Clamav lijkt me duidelijk voor de meeste oss gebruikers, en dazuko is een kernel patch, welke alle systemcalls die iets met files doen (read(), write(), open() etc) afvangt, en eerst een userland proces (bijvoorbeeld een virus scanner) de file laat scannen voordat de kernel de systemcall uitvoert. Qua performance wordt je er niet echt blij van, vooral als je veel desktop of script werk met veel files doet. Maar ok, het is een virus scanner. Laatst heb ik MCafee virus scan voor linux geprobeerd, maar bij de eerste poging crashede mijn machine zo hard, dat het er weer net zo snel vanaf ging.

Verder gebruik ik een virus scanner (clamav) op m'n FreeBSD mail server. Dit werkt vrij goed, en ook qua updates gaat dat allemaal erg snel. Maar afgezien van een mail server (of mischien een samba server) zie ik het nut van av software onder unix (nog) niet zo in. Simpelweg omdat de meeste meuk geschreven is voor een totaal ander platform, en geeneens werkt op deze platformen.. In de toekomst zal dit veranderen, en dan zal ik m'n mening ook bijstellen, maar op dit moment is het vrij nutteloos voor algemeen gebruik imho.

zondag 30 januari 2005 18:56

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op zondag 30 januari 2005 @ 18:10:
Voor zover mij bekend is feitelijk elk virus/worm voor Linux een server-infectie, dus iets a la Apache of sendmail. Er is mij geen enkel fatsoenlijk desktop-virus bekend voor Linux. Gevolg is dan ook dat er geen desktop anti-virus software is. De anti-virus software die er voor Linux is, is voor de servers bedoeld, en ruimt daar Windows-virussen op voordat deze op de Windows-clients terechtkomen. Soort van barriere dus.

Fprot heeft anti-virus software voor home users link.

Verwijderd schreef op zondag 30 januari 2005 @ 18:12:
Mja, het is een feit dat het meest gebruikte platform de meeste meuk naar zich toe zal trekken, simpelweg omdat het bereik van de meuk schrijvers op zo'n manier het grootst zal zijn.

...

Dit neemt natuurlijk niet weg dat dergelijke virussen en wormen er kunnen gaan komen (als ze er nog niet zijn).
Zoals ik al stelde wordt Linux een aantrekkelijker doelwit naargelang het meer gebruikers krijgt..

Voorkomen lijkt me nog steeds beter dan genezen..

[ Voor 6% gewijzigd door Verwijderd op 30-01-2005 18:58 ]

zondag 30 januari 2005 19:13

Acties:

Bananenplant

Misschien lichtelijk offtopic... maar een amd64 genereert toch een trap bij een buffer overflow? Doet de kernel daar ook iets mee? Dan lijkt het me helemaal zinloos om nog een av-programma te gaan draaien...

❤️‍🩹 Bezuinigen op armen en zieken 🤕 ? Welnee, Zucmantaks, nu 💰 !

zondag 30 januari 2005 19:36

Acties:

Verwijderd

Topicstarter

ucchan schreef op zondag 30 januari 2005 @ 19:13:
Misschien lichtelijk offtopic... maar een amd64 genereert toch een trap bij een buffer overflow? Doet de kernel daar ook iets mee? Dan lijkt het me helemaal zinloos om nog een av-programma te gaan draaien...

Ik weet niet precies wat hoe dat werkt (even geen zin om t uit te zoeken) maar met het alleen tegengaan van buffer overflows ben je nog niet beschermd tegen virussen. Een virus of worm kan gebruik maken van een bo om toegang tot een systeem te verkrijgen, maar dat kan ook op hele andere manieren (zoals gebruikersinteractie).

zondag 30 januari 2005 19:42

Acties:

AlterEgo

* AlterEgo gebruikt f-prot als mailscanner. Niet dat het nodig is, maar alle besmette mail gaat direct naar /dev/troep, en komt niet in de mailbox.
Tevens gebruk ik f-prot als on-demand scanner (right-click menu in KDE gemaakt: scan for viruses), om downloads snel te kunnen testen.
Ik heb geen klachten over de performance, en ik krijg bijna dagelijk updates.

Daarnaast gebruik ik clamav i.c.m. samba om bezoekende windows systemen veilig (on-access scan) mijn bestanden te kunnen laten gebruiken (met name laptops die ook op andere netwerken komen). De (gratis) f-prot versie kan dit niet (de betaalde wel).
Clamav is een behoorlijke resource-hog als je niet uitkijkt met de settings. Ook zijn updates niet al te frequent, maar: het werkt.

[ Voor 3% gewijzigd door AlterEgo op 30-01-2005 19:46 . Reden: typo ]

zondag 30 januari 2005 19:42

Acties:

Verwijderd

... en jij denkt dat alle virussen/worms/trojans/whatever meuk van buffer underrun/overflows gebruik maakt

Juist...

edit:
Beetje laat, was als reactie op ucchan

[ Voor 19% gewijzigd door Verwijderd op 30-01-2005 19:43 ]

zondag 30 januari 2005 20:16

Acties:

Verwijderd

Ik moet eerlijk zeggen dat ik een reeks virussen op 1 van mijn linuxbakken heb, maar die zijn voor mijn viruscollectie

Allemaal zijn het win32 virussen. Voor linux ben ik nog geen enkel virus tegen gekomen, wel wordt mijn apache webserver iedere dag lastig gevallen door een geïnfecteerde MS IIS-server.

Hier nog een artiekeltje over virussen op linux tegen windows virussen. Het grootste probleem is volgens dat artiekel dat virussen op windows zo makkelijk uit te voeren zijn en dat de gebruiker meestal administrator is.

Ikzelf gebruik geen scanner of iets dat in de buurt komt ervan voor mijn linuxbakken, ik gebruik echter wel een scanner in MacOS X, maar die is meer omdat ik wel eens iets download voor windows wat niet van 100% betrouwbare bronnen afstamt

De scanner wat ik gebruik ervoor komt van de zakelijke antivirusproducent Sophos. Het leuke ervan is dan mijn moeder van werk uit logingegevens krijgt dus is lekker goedkoop (en legaal)

Updates komen iedere maand 1 keer uit in de vorm van een zip-bestandje met daarin per nieuw virus een .ide bestandje met info over het verwijderen en het virus zelf.

Deze antivirus is voor redelijk veel platformen te krijgen:

* Windows NT/2000/XP/2003
* Windows 95/98/Me
* NetWare
* OS/2
* Unix/Linux
* Mac OS 8.1 or greater
* Mac OS X
* OpenVMS
* DOS/Windows 3.1x
* Data ONTAP 6.x (NetApp)

En verschillende hardwareplatformen.