Login


 
Newsletter
Werbung

Thema: Dateiüberprüfung mit iWatch

4 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von woweil am Do, 11. April 2013 um 17:50 #

Hallo zusammen,

mich interessiert, ob man iWatch so konfgurieren könnte, daß es Alarm schlägt, wenn eine ausführbare Datei gespeichert wird. Alam sollte in der Form geschlagen werden, daß es bspw. ein Skript in Endlosschleife mit Sounds aufruft. So könnte man doch jeden Angriff registrieren.


Mit freundlichen Grüßen

Wolfram

  • 0
    Von blubb am Do, 11. April 2013 um 19:55 #

    Du meinst quasi um auf Viren o.ä. aufmerksam zu werden?

    Das bringt vermutlich nicht sonderlich viel, da man keine Ausführbarkeitsrechte braucht um z.B. Skripte auszuführen, Leserechte reichen.

    0
    Von hjb am Fr, 12. April 2013 um 14:25 #

    Erst mal muss man überlegen, ob das nicht eine Menge Fehlalarme auslösen würde, wenn ein User eine Datei mit Ausführungsrechten anlegt, obwohl sie gar nicht ausführbar ist.

    Einen direkten Check gibt es jedenfalls nicht. Man kann »events="attrib"« verwenden, müsste aber zusätzlich ein Skript einsetzen, also »exec="check.sh"«, und in diesem Skript die Attribute prüfen. Ob das ausreicht, um auch neu angelegte Dateien zu erkennen, müsste man testen. Sehr effizient ist es aber nicht.

    Besser ist meiner Meinung nach, alle Verzeichnisse auf Änderungen zu überwachen, wo sich normalerweise nichts ändern darf.

    • 0
      Von woweil am Fr, 12. April 2013 um 14:47 #

      Wg. der Fehlalarme wäre das kein Problem. Es wäre nur mein Rechner. Aber ich denke in Anbetracht häufiger Angriffe wie bspw. Bundestrojaner könnte ich persönlich die wenigen Male, an denen es Fehlalarm gibt, in Kauf nehmen. So würde man aber dann doch (hoffentlich) erfahren, wenn eine ausführbare Datei unwissentlich gespeichert würde in den Verzeichnissen, in denen ich als einfacher User schreiben darf. Ich denke, bei den wenigen neuen Dateien, die hereinkommen, dürfte die Belastung auch nicht merklich größer sein.
      Inwieweit ich auch bestimmte Dateien von der Prüfung ausnehmen kann, weiß ich Moment auch nicht; müßte noch eruiert werden.

      Ich fände den Weg interssanter, als die betreffenden Verzeichnisse in /etc/fstab mit noexec zu setzen, da es ja doch manchmal Dateien geben kann, die ausgeführt werden sollen.

      Ich danke aber trotztdem für den Tip.


      Mit freundlichen Grüßen
      Wolfram

Pro-Linux
Frohe Ostern
Neue Nachrichten
Werbung