Onder Unix remote machines testen op spyware/virussen/etc - Linux en overige clients

dinsdag 26 oktober 2004 20:04

Acties:

Verwijderd

Topicstarter

Sommige windows gebruikers hebben niet door dat ze virussen en of spyware hebben.
Ik vindt het voor een van de websites die ik beheer wel makkelijk om een waarschuwing te kunnen plaatsen voor dat soort gebruikers. Wat algemene kennis over het remote testen van dat soort dingen is altijd handig.

1. Check in de useragentstring op browser versie.
2. meteen een nmap starten als iemand connect

3. tcp fingerprints? (moet ik zeker weer OpenBSD voor draaien..)
4. tcpdump/snort (zal alleen lokale machines opmerken)
5. grep cmd.exe /var/log/apache/access.log
6. ActiveX controll die gratis en zonder het te melden de hele hdd afzoekt naar spyware

Is spyware verder nog op te merken?

dinsdag 26 oktober 2004 20:10

Acties:

Verwijderd

Ik mag hopen dat de gebruikers van te voren gewaarschuwd worden, anders is het nogal onbeschoft en maakt het mogelijk inbreuk op de privacy.

Zal een populaire site worden dan

dinsdag 26 oktober 2004 20:12

Acties:

Verwijderd

Ach als je het brengt alla grc.com, dan lijkt me dit geen probleem.

en dat is toch een redelijk populaire site

dinsdag 26 oktober 2004 20:15

Acties:

elevator

Officieel moto fan :)

Je gaat ongevraagd een portscan uitvoeren op bezoekers van je websites? Lijkt me niet bepaald de bedoeling

Verder - je haalt hier een aantal concepten door elkaar.

Wat heeft TCP fingerprinting met spyware te maken?
Wat heeft tcpdump / snort met spyware of virussen te maken? Spyware is geen worm als CodeRed e.d. he?
Wat heeft het greppen van je access.log te maken met Spyware? Wormen als CodeRed en Slapper bedekken vermoedelijk nog maar een relatief kleine groep in vergelijking met het aantal PC's wat geinfecteerd is met Spyware Het scannen op die wormen lijkt me dan ook volledig zinloos aangezien het bezoeken van een website niet gerelateerd is aan het infectie systeem van die wormen. (oftewel - het bezoeken van jouw website zorgt er niet voor dat jouw website gescanned wordt )

Ohjah, ActiveX'en kan je uiteraard niet zomaar laten draaien, gebruikers zullen daar wel toestemming voor moeten geven

dinsdag 26 oktober 2004 20:19

Acties:

Bergen

Spellingscontroleur

Hoe wil je met punt 1 t/m 5 uitpuzzelen of een bezoeker last heeft van virussen/spyware? Als je weet met wat voor browser de bezoeker werkt, wat voor besturingssysteem hij heeft en welke poorten er open staat weet je nog weinig...

Stel dat ik je kan vertellen dat je met Mozilla surft, onder Windows ME en dat poort 80 open staat (ik noem maar wat), dan weet ik nog helemaal niets over virussen/spyware op jouw systeem.

Voor fingerprinting heb je trouwens niet beslist BSD nodig.

dinsdag 26 oktober 2004 23:05

Acties:

Verwijderd

Topicstarter

Bergen schreef op 26 oktober 2004 @ 20:19:

Stel dat ik je kan vertellen dat je met Mozilla surft,

Een bepaalde mozilla useragent string kan duiden op een firefox versie met security probleem....

onder Windows ME en dat poort 80 open staat (ik noem maar wat), dan weet ik nog helemaal niets over virussen/spyware op jouw systeem.

Klopt...open relay of backoffice poort zegt meer.

Het gaat me niet zo zeer om spyware/virussen maar om dat soort dingen te voorkomen. Als iemand met Win98/IE5 langs komt is er redelijk zeker te zeggen dat die persoon niet al te vaak langs windowsupdate is geweest.

Kijk het probleem is dat ik met SSL en gratis cacert certificaat en Linux/BSD een mooie beveiligde pagina kan maken, maar als er 5 kilo spyware etc. op de client machine staan is de veiligheid ver te zoeken.

dinsdag 26 oktober 2004 23:31

Acties:

Verwijderd

Over welke veiligheid heb je het eigenlijk? De veiligheid waarmee jij jouw informatie aan derden verstrekt?

Zolang jouw communicatie met die client veilig is, maakt het toch geen bal uit of die andere pc besmet is of niet?