http://www.heise.de/security/artikel/47520

Mal für alle die zum Lesen, die (selbst(?)zensur nach nettem Hinweis meiner privaten Bremse ) nach jedem Schädlingsbefall immer ein System sofort neu aufsetzen wollen und für die, die auch nach zwei dutzend gefundener Schädlinge davon immer noch nichts wissen wollen.

Noch als Ereiterung zum Kommentar: Da in Unternehmen quasi "immer" Daten wieder von einem Backup zurückgespielt werden müssen, bzw. auf ein Server zugegriffen wird und es einfach unmöglich ist zu garantieren dass diese Daten 100% "rein" sind, ist ein überhastetes "plattmachen" ganz sicher kein Allheilmittel und auch nicht einmal in sich logisch.

[ 21. Mai 2004, 15:22: Beitrag editiert von: Shadow ]

An sich kein tiefschürfender Artikel, aber inhaltlich hat er mit seiner Meinung absolut Recht. In der freien Wirtschaft ist nun mal für reines Schwarz-Weiß-Denken kein Platz.

Andreas

</font><blockquote>Zitat:</font><hr />An sich kein tiefschürfender Artikel... </font>[/QUOTE]Das stimmt schon, aber es ist 'ne Menge Wahres drin.


p.s. Wenn wir hier im Board mal das Unwort des Jahres küren sollten, schlage ich als erstes kompromittiert vor....

Danke fuer den guten Link.
Kann man wirklich nur zustimmmen.

Ein pauschalisieren zum neu aufsetzen kann man sowieso nie machen. Eine Abwegung muss sowieso immer gemacht werden, wenn aber so Sachen wie Optix und Subseven im Spiel sind, kommt man um das neu aufsetzen (meines Erachtens) nicht drum rum.


@Lutz (Der Bilk)
Klingt stark nach Iron.

Ich halte es für sehr risikovoll - zu risikovoll, ein nachweislich mit Schadsoftware befallenes System nicht komplett neu aufzusetzen - ist letzteres doch das einzig sichere Mittel, um weitergehende Manipulationen, die über diese aktive Schadsoftware vorgenommen worden sein könnten, auszuschließen.

Das sicherste Mittel ist es bestimmt. Da gebe ich Dir -Markus- und allen Verfechtern des 'Plattmachens nach Befall' vollkommen Recht.
Aber ich bin dennoch der Meinung, dass diese Aussage zu pauschal ist und wie -an anderer Stelle mal zu lesen war- ein Schießen mit Kanonen auf Fliegen (!) ist.
Es kommt imho immer auf die Art des Befalls an.
Beispielsweise bei einem 'eher simplen' Word- oder Excel- MacroVirus halte ich das Neuaufspielen des Systems für weit überzogen. Oder nehmen wir die Browser-Hijacker. Wenn ich hier jemandem 'nur' empfehle sein System neu aufzusetzen hat der/diejenige im Zweifel nicht viel gewonnen - außer vielleicht an Erfahrung in Sachen Neuinstalltion. Das eigentliche Problem -namlich die Schwachstelle IE- ist damit nicht dauerhaft gelöst. Aber wem sag ich das...?!?

@Remover
</font><blockquote>Zitat:</font><hr />Klingt stark nach Iron.</font>[/QUOTE]Wen oder was meinst Du?

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk):
...halte ich das Neuaufspielen des Systems für weit überzogen... </font>[/QUOTE]Apropos
Wo ist die Markus'sche Grenze?
Hätte BMW nach der innigen Bekanntschaft mit dem (relativ sehr harmlosen , "nur" Störenfried) Blaster im Herbst _alle_ Systeme und Daten löschen sollen?
Hätte Delta mit dem Admin MMK wegen Sasser sein _gesamtes_ sasser-beglücktes System mit Passagierdaten (und nicht bezahlten rechnungen) löschen sollen?

Und um den Faden mal weiter zu spinnen:

Sollte jedes große Unternehmen seinen Server komplett neu aufsetzen, wenn es einmal Opfer eines Hackers war?

Andreas

Beispiel: http://www.trojaner-board.de/forum/u...;f=24;t=000011

Trotz aller Mühen, die man sich mit der Analyse der Einzelfälle macht, wird dennoch Etliches übersehen - zwangsläufig:

-&gt; Analysetools zeigen nicht alles.
-&gt; Virenscanner erkennen nicht alles.

Fazit: Ein kompromittiertes System ist nur dann sauber, wenn formatiert und neu aufgesetzt wird. Ich meine, diese Information müsste zumindest jedem Fragenden gegeben werden (auch wenn ich es jetzt in den letzten Tagen selbst nicht immer gemacht habe). Ich muss mich daher im Nachhinein selbst kritisieren (eben wegen der fehlenden Hinweise).

Den Fragenden ist - wenn nur nach Analyse- und Scanergebnissen Löschungen erfolgen - nicht wirklich geholfen, insbesondere dann nicht, wenn Malware auf den Systemen verbleibt, die "wir" hier via Ferndiagnose nicht erkannt haben, weil die Mittel dazu einfach begrenzt sind - selbst dann, wenn man vor Ort wäre, um zu helfen.

Nichts desto weniger würde ich ein "blindes Formatieren" nicht empfehlen - eine Analyse bzw. ein Scan kann z.B. Dialer aufdecken, die gesichert werden müssten, durch ein Formatieren ohne vorheriges Backup aber gelöscht wären.

Ich meine aber, dass es unbedingt erforderlich ist, die nach Hilfe Suchenden stärker auf den Umstand hinzuweisen, dass ein sauberes System (ohne Neuaufsetzen) in keinster Weise zu gewährleisten ist.

Man spricht zwar davon, dass es sich ja "nur" um Hijacker handele, vergisst dabei aber, dass genau diese Lücken immer beliebter werden und die Schadsoftware sich dabei immer tiefer ins System eingräbt, nach 24 Stunden wieder aktiv wird, Dateien aus unbekannter Quelle nachlädt und auf dem System installiert. Warum sollte man gerade jenen vertrauen, dass schon keine "arg bösen" Dateien nachgeladen werden, da es sich ja wie gesagt "nur" um Hijacker handelt?

Nein, man kann und darf dieses "Vertrauen" eben nicht aufbringen. Das System neu aufzusetzen ist der einzig sichere Weg.

Auch bin ein Freund des Neuaufsetzens.

In letzter Zeit aber nur noch unter gewissen Bedingungen...

Ich habe schon (private) Systeme neu aufgesezt und nach 8 Wochen waren die wieder so versaut [img]graemlins/kloppen.gif[/img] ..weil der Benutzer sich eben nicht an meine Tips gehalten hat.

Ich setze Systeme nur noch neu auf wenn ich davon ausgehen kann das diese gepflegt werden und der Benutzer sich an meine Vorgaben hält.

Ich habe hier ein paar Spezies, denen kann ich das OS eigentlich jede Woche neu aufsetzen... [img]graemlins/crazy.gif[/img]

Domino

</font><blockquote>Zitat:</font><hr /> Ich setze Systeme nur noch neu auf wenn ich davon ausgehen kann das diese gepflegt werden und der Benutzer sich an meine Vorgaben hält.
</font>[/QUOTE]So sehe ich es auch. Wenn Systeme von allen möglichen Dingen befallen sind, ich investiere dann Zeit und nach einer Woche ist alles wieder so wie es vorher war, dann kann es eigentlich auch gleich so bleiben, wie es ist.

[img]graemlins/teufel3.gif[/img]