Eerste Linux-virus is gespot !!

[Gandyman]

Het artikel lijkt overigens wel een advertorial:

Anti-virus software from Doctor Web successfully detects and removes the backdoor, so the threat does not pose a serious danger to systems protected by Dr.Web for Mac OS X and Dr.Web for Linux.

Een probleem presenteren en daarbij gelijk de oplossing aanreiken is commercieel best een goed plan...

Geniaal bedacht van Doctor Web, eerst een virus ontwikkelen, verspreiden, "ontdekken" en met een oplossing komen : http://estore.drweb.com/linux/

Voor zover ik kan overzien was dit de core business van AV bedrijven, om zoveel mogelijk virussen te verspreiden ?
Kan er ook naast zitten maar heb toch altijd mijn bedenkingen gehad   

Enyway, wi zich ook aanprijst ik heb toch altijd nog de beste ervaringen met ESET Antivirus gehad.
En dat maar voor een luizige 29 euri ?
Zowel op servers als op de desktop pc.....

[Vistaus]

Als ze het serieus deden om hun AV te verkopen dan vraag ik me af waarom ze hun AV niet compatibel hebben gemaakt met de 3.x-kernel die veel mensen nu gebruiken...

[Gandyman]

Ook virus verspreiders zijn mensen, ennuuh mensen maken vouten 

[RikRik]

Het gaat dus om de backdoor wirenet1,
http://askubuntu.com/questions/181930/what-to-do-regarding-backdoor-wirenet-1

[Pjotr]

Voorzover Java ermee te maken heeft (?), Oracle heeft vandaag de spoedreparatie Java 7u7 uitgebracht. Mijn Javahandleiding heb ik daar al op aangepast, en grizzler heeft de Duinsoft-pakketbron bijgewerkt.

Lijkt me zinvoller om Java bij te werken, dan om twijfelachtige zooi van ene Dr. Web uit Rusland te gaan installeren....

[emiel1976]

Ook voor Linux? Want wat ik begreep was dat ze voor Windows en OS X gelijk actie ondernamen en dat Linux moest wachten met een update voor Java.

Zo heb je geen virussen en dergelijke in Linux en zo is iedereen in paniek en nemen ze allerlei acties om alles maar veilig te stellen.
Dat java problemen geeft is niet de eerste keer en blijft een zwak punt en iets waar je altijd op moet letten.

[Tom]

Net een update gehad van de icedtea zaakjes
update-alternatives 2012-08-30 20:53:20: run with --quiet --remove mozilla-javaplugin.so /usr/lib/jvm/java-6-openjdk-amd64/jre/lib/amd64/IcedTeaPlugin.so
update-alternatives 2012-08-30 20:53:20: link group mozilla-javaplugin.so fully removed
update-alternatives 2012-08-30 20:53:26: run with --quiet --install /usr/lib/mozilla/plugins/libjavaplugin.so mozilla-javaplugin.so /usr/lib/jvm/java-6-openjdk-amd64/jre/lib/amd64/IcedTeaPlugin.so 1061
update-alternatives 2012-08-30 20:53:26: link group mozilla-javaplugin.so updated to point to /usr/lib/jvm/java-6-openjdk-amd64/jre/lib/amd64/IcedTeaPlugin.so

[Vistaus]

Voorzover Java ermee te maken heeft (?), Oracle heeft vandaag de spoedreparatie Java 7u7 uitgebracht. Mijn Javahandleiding heb ik daar al op aangepast, en grizzler heeft de Duinsoft-pakketbron bijgewerkt.

Lijkt me zinvoller om Java bij te werken, dan om twijfelachtige zooi van ene Dr. Web uit Rusland te gaan installeren....

Dat kan zelfs niet zomaar want Dr Web is betaald

[testcees]

Voorzover Java ermee te maken heeft (?)

Heeft er niets mee te maken voor zover ik weet, totaal offtopic.

[RikRik]

Voorzover Java ermee te maken heeft (?)

Heeft er niets mee te maken voor zover ik weet, totaal offtopic.

Inderdaad, het heeft hier wel mee te maken http://askubuntu.com/questions/181930/what-to-do-regarding-backdoor-wirenet-1
Verder denk ik dat het het virus een storm in glas water is..  Dr.Web propaganda

[Vistaus]

Die Trojan is iets anders dan dat Java-lek. Totaal niks mee te maken dus.

[bwman]

ik krijg deze indruk ook veel ophef om hun eigen rommel te kunnen verkopen, Die java exploit is wel serieus indeed maar gelukkig draait het hier niet, wel net de iced tea updates binnen gekregen.

[emiel1976]

ik krijg deze indruk ook veel ophef om hun eigen rommel te kunnen verkopen, Die java exploit is wel serieus indeed maar gelukkig draait het hier niet, wel net de iced tea updates binnen gekregen.

Dat idee heb ik ook.
Voor de java lek is trouwens al een update uit die het dicht.

[Suns]

Even een extra slotje op de deur kan geen kwaad

Aanzetten van de firewall kan via de terminal.

sudo ufw enable

druk op Enter


Uitzetten:

sudo ufw disable

Controleer de status van de firewall:

sudo ufw status

[RikRik]

Alleen maar je firewall aan zetten is zo goed als nutteloos.  Tenzij je de oplossing van Johan van Dijk of in m'n link toe past., het voorkomt uitgaand verkeer naar 1 ip adres...
Meer informatie voor mensen die een firewall willen toepassen: Manche Leute glauben, eine "Firewall" würde sie beim Internetsurfen oder Email lesen schützen.

http://wiki.ubuntuusers.de/personal_firewalls

[SeySayux]

Daarnaast staan mijn wachtwoorden veilig in de GNOME Keyring, hetgeen al jaren een standaardprocedure is voor menig Linux-distributies, waaronder Ubuntu. Nee, deze backdoor zal met lege handen naar z'n server moeten communiceren.

Een keyring helpt hier niet echt tegen; op een bepaald moment moet nog steeds het ontsleutelde wachtwoord bestaan dat kan worden doorgestuurd. OS X heeft al langer een keyring ingebouwd dan Linux en voor zover ik het begrepen heb is de consensus op dit forum dat OS X een onveilig stuk st***t is gemaakt door een megalomaan bedrijf dat niet in zit met de beveiliging van zijn gebruikers... (Maar goed, dat lijkt algemeen de mening te zijn over commerciële besturingssystemen in de Linuxcommunity. Zelfs wanneer de betrokken onderdelen van deze systemen open source zijn.) Maar ik ga hier off-topic. {/end rant]

Enfin: Linux is even vatbaar voor Trojans als OS X, Windows of gelijk welk ander systeem: het is de gebruiker die ze installeert.

[RikRik]

Alleen maar je firewall aan zetten is zo goed als nutteloos.  Tenzij je de oplossing van Johan van Dijk of in m'n link toe past., het voorkomt uitgaand verkeer naar 1 ip adres...
Meer informatie voor mensen die een firewall willen toepassen: Manche Leute glauben, eine "Firewall" würde sie beim Internetsurfen oder Email lesen schützen.

http://wiki.ubuntuusers.de/personal_firewalls

@Femke, de Trojan van meneer Web maakt een verbinding met maar 1 ip adres. Uitgaand verkeer bLokkeren van  212.7.208.65 is de oplossing.  Alleen maar een firewall activeren is zinloos..
En ik blijf er bij: het virus is een storm in glas water ...  Dr.Web propaganda

[Pjotr]

Storm in een glas water, inderdaad.... het is niet de eerste Linux-Trojaan, trouwens:
http://debianandi.blogspot.nl/2009/12/linux-trojan-discovered-in-screensaver.html

Blijkbaar is de verspreidingswijze van deze Trojaan nog onbekend, maar vermoedelijk komt de "bestrijding" op hetzelfde neer als de bestrijding van de Trojaan uit 2009: blijf met je fikken af van progjes uit onbekende/ongecontroleerde bronnen.

Dan hoef je zelfs geen IP-adres te blokkeren....

[Vistaus]

Tenzij het in bekende bronnen komt. Weet iemand nog die Unreal Malware? Was in de stabiele en vertrouwde pakketbronnen van Fedora en Gentoo terecht gekomen. Onoplettendheid van de developers wellicht? Het kan dus voorkomen dat het met bekende bronnen ook misgaat.

[Pjotr]

Jahhh.... En het kan ook gebeuren, dat je een kapotte ruimtesatelliet op je kop krijgt. De kans daarop is echter wel verrekt klein. 

Niks is geheel veilig, dat is een open deur....

[Ron]

Linux is even vatbaar voor Trojans als OS X, Windows of gelijk welk ander systeem: het is de gebruiker die ze installeert.

Dus zit de beste beveiliging hier tegen tussen de rugleuning en het toetsenboard

[bwman]

Volledig mee eens pjotr en Ron, Maar het lijkt mij sterk dat je een virus hebt gevonden maar niet hoe het zich installeerd, maar dat je toch kan verwijderen als je maar Dr webb gebruikt of zie ik dat nu helemaal verkeerd.

[Joris Donders]

Wat er een ontwikkelt en vervolgens zelf met een 'oplossing' komt, kan die persoon makkelijk verkopen aan anderen.
Mocht dat idd een proof of concept zijn.
Malafide bedrijfjes genoeg die daar stevig geld voor neertellen (denk maar aan xxx-sites of Warez-sites), deze trojaan heeft een potentieel, daar kan je niet naast kijken.

Dus aan de ene kant ja het zit op de rand van een hoax, en neen je kan je niet veilig wanen wanneer dat concept doorverkocht wordt.
Opletten is in feite de boodschap, tenzij Canonical met een patch over de brug komt.

[erik1984]

Wat er een ontwikkelt en vervolgens zelf met een 'oplossing' komt, kan die persoon makkelijk verkopen aan anderen.
Mocht dat idd een proof of concept zijn.
Malafide bedrijfjes genoeg die daar stevig geld voor neertellen (denk maar aan xxx-sites of Warez-sites), deze trojaan heeft een potentieel, daar kan je niet naast kijken.

Dus aan de ene kant ja het zit op de rand van een hoax, en neen je kan je niet veilig wanen wanneer dat concept doorverkocht wordt.
Opletten is in feite de boodschap, tenzij Canonical met een patch over de brug komt.

Maar opletten is een beetje een algemene boodschap. Dat moet je sowieso doen, ongeacht welk OS je draait en ongeacht de sensationele nieuwsberichten.

[JPaulus]

Als je de standaard firewall in Ubuntu aangezet hebt kan je met dit commando een regel toevoegen die de communicatie met de server voorkomt:

Code: [Selecteer]

sudo ufw insert 1 deny out log to 212.7.208.65
Pogingen om contact te maken met die server worden ook gelogd (zie dmesg en/of /var/log/ufw.log)

Krijg als ik dit commando uitvoer de volgende melding:
ERROR: Ongeldige positie '1'
Wat kan ik daaraan doen ?

Open terminal en geef in

Code: [Selecteer]

sudo ufw deny out log to 212.7.208.65