Home / Antivirus
Tip

Linux und Viren – braucht man ein Sicherheitstool?

Die Bedrohungslage ist bei Linux mehr als entspannt. Aufgrund der Architektur und seiner deutlich geringeren Verbreitung haben Virenentwickler mit dem System ihre Mühe. Das bedeutet aber nicht, dass Viren für Linux-Anwender gar keine Rolle spielen.
Von Stephan Lamprecht
PC-WELT
Clam-AV ist der meistverbreitete Virenscanner unter Linux.
Image: IDG

Windows-Schädlinge können Linux nichts anhaben oder nicht beschädigen. Aber natürlich können sie auch unter Linux vorkommen. Auf einem Linux-NAS in einer gemischten Netzwerkumgebung können früher oder später auch Windows-Viren liegen, die sich beim Abruf der infizierten Datei auch auf andere Clients verbreiten. Deswegen ist es ratsam, Linux-Server regelmäßig auf Viren zu überprüfen, sofern dort auch Windows-Rechner zugreifen.

Das Linuxsystem regelmäßig scannen 

Der Klassiker für diese Aufgabe ist Clam-AV . Der Scanner wird auch für Linux angeboten. Das Programm ist in den Paketquellen aller bekannten Distributionen vorhanden und mit wenigen Klicks installiert. Wie bei allen Virenscannern gilt auch hier, dass die Signaturdateien regelmäßig aktualisiert werden müssen. Das übernimmt ein spezielles Programm, das Sie in einem Terminal mittels des Befehls

sudo freshclam

manuell aufrufen. Üblicherweise wird aber ein Daemon installiert und gestartet, der in regelmäßigen Abständen automatisch nach neuen Signaturdateien Ausschau hält. Clam-AV ist so flexibel, dass es eine ganze Reihe von Möglichkeiten gibt, das Scannen zu automatisieren und zu steuern. Auch die Einbindung in eigene Anwendungen ist möglich. Hier hilft ein Blick in die umfangreiche Dokumentation des Projekts, die auch die zahlreichen Optionen beim Funktionsaufruf erklärt. Denn das Programm kann wahlweise den Nutzer nur über gefundene Viren informieren oder betroffene Dateien auch verschieben.

Die Prüfung mit Clam-AV lässt sich automatisieren und ist empfehlenswert, wenn das System etwa als Dateiserver für Windows-Clients genutzt wird.
Die Prüfung mit Clam-AV lässt sich automatisieren und ist empfehlenswert, wenn das System etwa als Dateiserver für Windows-Clients genutzt wird.

Ein einfacher und schneller Weg, den Prozess zu automatisieren, besteht im Anlegen eines Shell-Scripts, das lediglich aus dem Funktionsaufruf des Programms besteht. Dieses Script können Sie dann in die Crontabelle des Systems im gewünschten Intervall eintragen. Der Aufruf selbst könnte dann so aussehen: 

sudo clamscan -r --move=VERZEICHNIS0 VERZEICHNIS1 VERZEICHNIS2 

In diesem Fall untersucht die Software die Ordner „Verzeichnis1“ und „Verzeichnis2“ rekursiv (Schalter „-r“), also inklusive aller Unterordner. Jede verdächtige Datei wird in das Verzeichnis verschoben, das Sie hinter „–move=“ angeben. Es gibt auch einen Schalter, um eine Datei automatisch zu löschen. Damit sollten Sie aber vorsichtig sein, da ja Fehlalarme nicht immer auszuschließen sind.

Siehe auch: Die 11 besten Online-Scanner

Linux als Windows-Helfer 

Linux ist auch die perfekte Unterstützung, wenn es darum geht, Windows-Systeme zu untersuchen und im Notfall erste Maßnahmen zu ergreifen. Spätestens wenn Clam- AV einen Virus auf dem Linux-Dateiserver findet, ist es Pflicht, sämtliche Windows-Clients genauer unter die Lupe zu nehmen. Hier greifen Sie am besten auf ein Rettungssystem zurück, wie sie viele Hersteller von Sicherheitslösungen zum Download anbieten. 

Unser Linux-Spezialsystem für Windows-Pannen kann nach Viren scannen und Benutzerdateien retten.
Unser Linux-Spezialsystem für Windows-Pannen kann nach Viren scannen und Benutzerdateien retten.

Wir  bieten ebenfalls ein solches Rettungssystem , das Sie kostenlos nutzen können. Der Unterbau solcher Systeme und auch dieses Rettungssystems ist ein Linux, das im Livebetrieb ausgeführt wird. Mit dem unabhängigen Notfallsystem können Sie den Windows-Rechner aus unkompromittierter Quelle nach Viren durchsuchen, Benutzerdateien auf andere Datenträger retten oder Reparaturen erledigen, falls ein Windows-System nicht mehr startet.

Die Vorgehensweise ist bei allen Datenrettern ähnlich. Sie starten den Computer über DVD- oder USB-Medium. Dazu müssen Sie im Bios meist die Reihenfolge beim Systemstart verändern oder Secure Boot abschalten. Das Livesystem wird Sie dann dazu auffordern, ein WLAN auszuwählen, falls der Computer nicht per Ethernet mit dem Internet verbunden ist. Meist erfolgt anschließend die Aktualisierung der Programme und der Virensignaturen.

Unter Linux können Sie nur auf Datenträger zugreifen, die in das Linux-Dateisystem eingehängt sind. Das gilt auch für Rettungssysteme. Um also gezielt die interne Festplatte oder besser eine Partition zu untersuchen oder zu bearbeiten, müssen Sie die Platte des Windows-Rechners erst anmelden. Im Notfallsystem der LinuxWelt/PC-Welt gibt es dafür das Leistensymbol „Festplatten einbinden“. Über die weitere Schaltfläche „Rettungswerkzeuge“ erreichen Sie dann mehrere Antivirenprogramme – neben Clam-AV auch Avira oder Sophos.

„Reparatur“ ist selten erfolgreich 

Und wenn ein Virus gefunden wird? Die meisten am Markt befindlichen Schutzprogramme versprechen, einen Virenbefall reparieren zu können. Was unter dieser Reparatur zu verstehen ist, definieren die Hersteller aber sehr verschieden. Häufig wird die entsprechende Datei nur lokalisiert und automatisch in ein besonderes Verzeichnis verbannt („Quarantäne“). Wenn es sich um die ausführbare Datei eines Windows-Programms handelt, lässt sich dieses dann nicht mehr starten.

Nach unserer Einschätzung sind die Versuche, einen Virus tatsächlich physikalisch aus einer befallenen Binärdatei zu entfernen, selten von Erfolg gekrönt. Bevor Sie sich auf zweifelhafte Rettungsaktionen einlassen, ist es sicherer, den befallenen Rechner vollständig neu aufzusetzen. Dazu gehören die vollständige Formatierung der Speichermedien, die Installation des Betriebssystems aus einer vertrauenswürdigen Quelle und die Wiederherstellung der gespeicherten Benutzerdateien aus einem Backup.

Wichtige Benutzerdateien können Sie mit dem Rettungssystem aber auch vom infizierten System auf einen anderen Datenträger kopieren und dadurch retten. Die Gefahr, dass Office-, Text- und Mediendateien Schadsoftware enthalten und diese durch einen Software-Interpreter wie Excel, Adobe Reader oder VLC ausgelöst werden, ist nicht völlig auszuschließen, aber sehr gering.

Anleitung: Linux-Server rundherum absichern

Rootkits sind für Linux gefährlich 

Es gibt durchaus ein Bedrohungsszenario für Linux-Systeme, das Sie ernst nehmen sollten. Das Konto root darf unter Linux alles und Rootkits, deren Namen sich inzwischen auch für ähnliche Schädlinge für andere Systeme eingebürgert hat, sind Werkzeugsammlungen eines Angreifers, die sich erfolgreich vor der Entdeckung von Virenscannern tarnen. Ein solches Rootkit eröffnet dem Angreifer die Option, sich auf dem kompromittierten System anzumelden, Netzwerkverkehr zu überwachen oder Programme zu starten. Häufig werden solche erfolgreich auf verschiedenen Systemen installierten Kits für konzertierte Attacken genutzt.

Ein Programmpaket, das beim Aufspüren solcher Rootkits hilft, ist „chkrootkit“, das in den Paketquellen aller Distribution zu finden ist. Es wird in einem Terminal mit root-Recht gestartet (sudo chkrootkit), um das System zu untersuchen. Um sicher zu sein, dass das eigene System und damit das Programm chkrootkit nicht seinerseits kompromittiert ist, ist es ratsam, chkrootkit von einer unabhängigen Live-CD zu verwenden. Möglicherweise hat der Angreifer sein Rootkit gegenüber der Software getarnt, deswegen kann es nicht schaden, eine zweite Meinung etwa mit dem Programm rkhunter einzuholen. Auch dieses Tool ist in allen Distributionen über die Paketquellen zu beziehen.

vgwort