Sorry, meinte auch Win8.1... plus ein AV und die Firewall.

Danke nochmals für die Hilfe

Zitat:

Zitat von mort

Auf Linux-Systemen nicht nötig.

Auf vernünftig eingerichteten Systemen nicht nötig

Zitat:

Zitat von cosinus

Auf vernünftig eingerichteten Systemen nicht nötig

Hast du da mal einen Link oder so?
Habe schon paar mal davon gehört dass man einen Rechner so konfigurieren kann, aber keiner konnte mir ein definitives Beispiel nennen... (und jetzt komm bloss nicht mit: Router austecken )

Wegen der VM: Wenn ich ja kein AV und Firewall brauche, wie merke ich dann überhaupt dass ein Angriff stattgefunden hat/stattfindet?
Auf dem Host hätte ich da Process Explorer... zeigt der auch die Verbindungen für die VM an, oder bräuchte man nochmals einen PE?
Ganz ehrlich, ich hätte noch mehr Fragen, aber ich will euch hier nicht zuballern, und ausserdem muss ich gestehen dass ich mich seit Samstag nicht mehr mit dem Thema auseinandergesetzt habe...

Malte J. Wetz : De - Kompromittierung Unvermeidbar browse

Zitat:

Zitat von Malte J. Wetz

1. Einleitung

1.1. Motivation

Es scheint mittlerweile einen weit verbreiteten Irrglauben unter den normalen Heimanwendern zu geben, der auch teilweise von den Medien durch unkritische Berichterstattung geschürt wird.

Nämlich, dass Schadprogramme aller Art (Viren, Würmer, Dialer etc.) sich "einfach so" im Internet verbreiten und man sie sich einfach so "einfängt". Dass gelegentliche Infektionen mit Viren und Würmern eben zum Internet dazu gehören und man sie, gleichsam wie Naturkatastrophen, eben hinnehmen muss, weil es keinen effektiven Schutz gibt. Ab und an wird noch propagiert, dass Virenscanner oder sogenannte Personal-Firewalls ein zuverlässiger Schutz seien. Ich bin der Auffassung, dass dies alles falsch ist!

Auf dieser Seite werde ich meine Gründe für diese Auffassung darlegen und lade jeden herzlich ein, sie einer kritischen Analyse zu unterziehen. Ich bin gerne bereit, Kritik und Verbesserungsvorschläge entgegen zu nehmen.

Zitat:

Wegen der VM: Wenn ich ja kein AV und Firewall brauche, wie merke ich dann überhaupt dass ein Angriff stattgefunden hat/stattfindet?
Auf dem Host hätte ich da Process Explorer... zeigt der auch die Verbindungen für die VM an, oder bräuchte man nochmals einen PE?
Ganz ehrlich, ich hätte noch mehr Fragen, aber ich will euch hier nicht zuballern, und ausserdem muss ich gestehen dass ich mich seit Samstag nicht mehr mit dem Thema auseinandergesetzt habe...

Sowas wie einen Taskmanager gibts auch unter Ubuntu. Mach Dir doch nicht so viele Sorgen.
Wichtige Dinge (mit Passwort-Login) würde ich in einer saubergehaltenen VM machen. Eine andere zum wilden Surfen.
Da kann dann auch nichts passieren. Ist dann auch völlig egal, ob Du auf infizierte Seiten oder Popups klickst.
Bezüglich Ubuntu: Da ist Bernd der richtige Mann
TheRegRunner - YouTube

Zitat:

Zitat von cosinus

Malte J. Wetz : De - Kompromittierung Unvermeidbar browse

Ist ebenfalls mein Bauchgefühl, ich probier nur in Richtung "zielmlich" sicher zu gehen. Hatte erst vor ein paar Tagen mich mit 'Mobogenie' infiziert, durch ein Fehler meinerseits (suchte nach 'Microsoft Regclean', dabei klickte ich aber 'Regcleaner' an, der mit richtig viel Adware kam... ) Die verschwendete Zeit ärgert mich halt, die man dann zum Aufräumen braucht.
Danke für den Link!

Zitat:

Zitat von deeprybka

Wichtige Dinge (mit Passwort-Login) würde ich in einer saubergehaltenen VM machen. Eine andere zum wilden Surfen.
Da kann dann auch nichts passieren. Ist dann auch völlig egal, ob Du auf infizierte Seiten oder Popups klickst.

Richtig guter Ansatz, obwohl ich noch nicht weiss wie ich jetzt bei meiner VM (VMware) einen Wiederherstellungspunkt mache. Ich meine, wenn die VM ja infiziert ist, hilft alles nichts mehr ausser Reset, oder?
Danke ebenfalls für den Link, kann ich gut gebrauchen als Linux-Laie...

Zitat:

obwohl ich noch nicht weiss wie ich jetzt bei meiner VM (VMware) einen Wiederherstellungspunkt mache

weiß nicht, ob das mit dem Player geht.

Zitat:

Ich meine, wenn die VM ja infiziert ist, hilft alles nichts mehr ausser Reset, oder?

1. Wirst Du Dein Ubuntu nicht infizieren können- außer Du installierst als root lauter Unsinn. Ich glaube es gab mal eine Backdoor. Die hat aber nur funktioniert mit dpkg-Installation.
Also wenn Du nur aus dem Softwarecenter lädst, bist da schon sicher.

2. Mach doch einfach eine 2. VM: Allein für alle sensiblen Sachen mit Login etc.

Dann gibts doch kein Problem mehr oder?

Zitat:

Zitat von cosinus

Malte J. Wetz : De - Kompromittierung Unvermeidbar browse

Auf den Link bezogen: Hier wird angewiesen, bei Infektion den Rechner neu aufzusetzen, also das (natürlich ) erstellte Backup zu nutzen, und wieder bei 0 anzufangen.
War auch immer mein Gedanke, wie kann man 100% sicher sein bei einer Säuberung. (Frage mich jetzt nur warum ich nie ein Backup erstellt habe...)
Interessant ist auch der Punkt wo er auf Removal Tools eingeht, welche in seinen Augen ebenfalls nicht 100% sind - deshalb auch der Verweis auf Systemwiederherstellung ab Punkt 0.

...und ich hatte gerade so ein Fall bezüglich 'Mobogenie' und Removal Tools...
Wäre ich doch nur früher auf die Idee des sicheren Rechners in Kombination mit einer VM aufmerksam geworden...

Zitat:

Zitat von deeprybka

...Mach doch einfach eine 2. VM: Allein für alle sensiblen Sachen mit Login etc.

Und was machst du mit deiner 1. VM, welche, mal angenommen ich mach NUR Blödsinn, komplett zugerotzt ist? Deinstallieren und ohne Wiederherstellungspunkt neu aufsetzen?
-Ok, über Ubuntu akzeptabel, da fast keine Gefahr besteht...
Oder einfach weitersurfen? Da es ja eine VM ist und der Host-Rechner eh nicht in Gefahr ist, mal ganz davon abgesehen dass es zwei verschiedene BS sind.

Zitat:

Und was machst du mit deiner 1. VM, welche, mal angenommen ich mach NUR Blödsinn, komplett zugerotzt ist?

Löschen. Und neu machen. Die Ubuntu-Iso hast Du ja. In der VM sollst ja keine Daten speichern etc.
Sind die vmwaretools installiert, funktioniert ja auch copy+paste. Und wenn mal was für Windows runterladen willst: Machs über Ubuntu, check es auf virustotal.com und dann kannst es ja auf den host kopieren, den Du ja, wie DU schreibst sowieso abgesichert hast.

Zitat:

Zitat von Goemon

Auf den Link bezogen: Hier wird angewiesen, bei Infektion den Rechner neu aufzusetzen...

Äh, führt das nicht dieses und alle anderen Foren "ad absurdum"?

Gegenfrage (von sempervideo "persönlich"):
Wenn bei Dir eingebrochen wurde - reißt DU dann Dein Haus ab?


Stress Dich nicht so rein. Mach Dir schöne virtuelle Maschinen so wie ich Dir gesagt habe. Mach vom host Wiederherstellungspunkte.
Leg Deine allerwichtigsten Sachen in einen Truecrypt-Container und lager diesen als Notfall-Backup in einer Cloud.

Naja, pauschal immer bei jeder Infektion alles plätten ist ja auch falsch. Es kommt drauf an, in welcher Situation man steckt, um welche Infektion es geht. Ist es vllt nur Adware oder gar sowas wie ZeroAccess oder, falls man von einem Server-Szenario ausgeht, eine gezielt Attacke wo der Angreifer schon zB eine rootshell und damit die Möglichkeit hatte, das System ganz nach seinem Geschmack umzubauen. Eine richtig gut manuell versteckte Backdoor findet man nicht, und selbst wenn woher soll man wissen, dass man alle gefunden hat.

Zitat:

Gegenfrage (von sempervideo "persönlich"):
Wenn bei Dir eingebrochen wurde - reißt DU dann Dein Haus ab?

Das ist ein etwas quatschiger Vergleich
Ne Neuinstallation kann man nicht mit Haus abreißen vergleichen, Haus abreißen würde Rechner verschrotten bedeuten

Zitat:

Das ist ein etwas quatschiger Vergleich
Ne Neuinstallation kann man nicht mit Haus abreißen vergleichen, Haus abreißen würde Rechner verschrotten bedeute

Das ist Ansichtssache. Ich habe das nur zitiert, weil Goemon ja ein Fan von semper ist und er die Videos kennt.
Trojaner: Was nun, was tun? (Teil 1 von 2) - YouTube

Und doch gibt es einige die auch ZeroAccess bereinigen. Und das ist sogar ein Rootkit.

Ich beende jetzt für mich die Diskussion.
Jeder muss selber wissen was er macht. Aber ich denke die Lösung über die virtuelle Maschinen erhöht nicht nur die Sicherheit, man lernt auch was über Computer und evtl. andere Betriebsysteme.

Zitat:

Und doch gibt es einige die auch ZeroAccess bereinigen. Und das ist sogar ein Rootkit.

Mach ich auch
Aber nur nach vorhergehender Warnung

Zitat:

jeder muss selber wissen was er macht. Aber ich denke die Lösung über die virtuelle Maschinen erhöht nicht nur die Sicherheit, man lernt auch was über Computer und evtl. andere Betriebsysteme

Full Ack!

In Bezug auf die VM:


Wie ist das genau gemeint mit "im Falle einer Kompromittierung einfach VM löschen, neu aufsetzen" (VMware, ohne Wiederherstellungspunkt)?
Ich habe die Möglichkeit mehrere VM´s im VMware-Player zu erstellen... ich müsste aber in diesem Fall nur die "verseuchte" VM löschen, und nicht den Ganzen Player mit allen VM´s, oder sehe ich da jetzt was falsch?

Und wie erkenne ich ob die VM kompromittiert ist? (Falls relevant; mein Guest-OS ist Ubuntu 12.04 LTS) Gibt es etwas wie den Prozess Explorer dafür? Ich kann ja schlecht noch ein AV installieren um mir die Suche zu erweitern... (mal ganz abgesehen von meinem Vertrauen in solche, Malte J. Wetz sei Dank)
Wie verhält sich das mit AV und Firewall des Host-OS in Bezug auf allfällige Angriffe seitens der VM? Sind das definitv zwei getrennte Parteien, oder kann der eine den anderen "warnen"?


Irgendwie ist das alles noch so richtig verwirrend für mich... aber genau das liebe ich an dem Thema und möchte mehr lernen

Zitat:

ich müsste aber in diesem Fall nur die "verseuchte" VM löschen, und nicht den Ganzen Player mit allen VM´s, oder sehe ich da jetzt was falsch?

Du wirst Dein Ubuntu nicht infizieren können!
Wenn es eine infizierte Windows-VM ist, dann einfach löschen - also die ganze VM, nicht den Player! Die liegen normalerweise im Dokumentenverzeichnis: \Virtual Machines.

Zitat:

Wie verhält sich das mit AV und Firewall des Host-OS in Bezug auf allfällige Angriffe seitens der VM?

Hast Du ein AV mit Anti-Web-Virus, dann kannst Du auch unter ubuntu in der VM, keine "infizierten" Seiten laden, mal salopp gesagt. Da motzt das Host-AV wenn es ein gutes ist.

Mach dir doch keine Sorgen. Du bist mit Linux sehr sicher. Bestätige keine unbekannten Java-Applets und verwende No-Script, nur Programme aus dem Softwarecenter....Dann passt das!

Zitat:

Zitat von deeprybka

Du wirst Dein Ubuntu nicht infizieren können!

Halt ich jetzt für eine ziemlich gewagte Aussage. Ich weiss, die Chance ist zwar kleiner als z.B bei Windows, aber nicht gleich Null.

Zitat:

Wenn es eine infizierte Windows-VM ist, dann einfach löschen - also die ganze VM, nicht den Player!

Die ganze VM klingt jetzt so als meinst du alles löschen? Sorry fürs Nachhacken, bin nicht sicher ob wir die gleiche Definition benutzen: Der VMware-Player ist das Tool, welcher alle möglichen VM beinhaltet... und so wie ich dich verstehe müsste ich nur die einzelne kompromittierte VM löschen, richtig?

Zitat:

Hast Du ein AV... Da motzt das Host-AV wenn es ein gutes ist.

Danke für die Erläuterung, dieser Teil war mir immer schleierhaft.

Zitat:

Mach dir doch keine Sorgen.

Keine Angst, mach ich mir auch nicht... vielleicht klingt das hier alles so als wollte ich mir eine Festung oder so bauen. Aber mir geht es primär um die Theorie und Technik dahinter. Das Thema Sicherheit interessiert mich allgemein, und wer weiss, vielleicht kann ich eines Tages dazu beitragen

Danke nochmals für die Antworten