IllegalPrime schrieb am 22.05.2017 17:00:
Der nächste Schritt wäre dann die Wiederherstellung der Nutzerdaten aus einem Backup, das älter als die Malware ist. Da ein Backup immer das gesamte Home-Verzeichnis sichert, sind damit alle Nutzerdaten wiederhergestellt.
Aber das ist doch genau der Knackpunkt, den du für Windows ausschließt. Also entweder funktioniert dieses Vorgehen unter Windows exakt genauso und deine Kritik ist damit polemischer Blödsinn oder deine Vorgehensweise ist immer ungenügend, weil sie eben nicht OS-/Backup-Software-spezifisch ist.
Nehmen wir mal an es gibt noch irgendeinen Zweifel ob die Nutzerdaten nicht doch noch Malware enthalten. Das ist bei den Linux-typischen Dokumentformaten unwahrscheinlich, z.B. C++ Quelltexte, Python-Skripte oder LaTeX Dokumente sind alles Textformate die keine ausfĂĽhrbaren Binaries sind.
Komische Argumentation, unter Windows können exakt die gleichen Formate zum Einsatz kommen und haben die Leute auch nur in wenigen Fällen ausführbaren Code im Benutzerverzeichnis.
Soweit dies. Worauf ich hinaus wollte war aber was anderes. In der Windows-Welt wird die Möglichkeit einer Systemkomprimittierung nicht wirklich beachtet und nicht konsequent ausgeschlossen.
Dass es nicht beachtet wird ist natürlich Quatsch, deswegen gibt es das ganze Virenscanner-Gedöhns, wird das System, per default sogar ebenfalls regelmäßig gesichert, bietet es alle möglichen Mechanismen zur Rücksetzung auf einen vorherigen Stand, wird bei allem Scheiß mit Signaturen gearbeitet usw. Ausschließen wiederum kann man es prinzipielle nicht "konsequent", nirgends und niemals.
Beispielsweise denken Leute, dass sie der Kompromittierung durch Ransomware entgehen können, indem sie ihr Backup auf das befallene System zurück spielen.
Deine eigenen AusfĂĽhrungen legen genau das nahe, du hast ja auch nichts anderes gemacht, als irgendwelche Dateien aus dem Backup wiederherzustellen und zu hoffen. Du hast beispielsweise exakt gar keine MaĂźnahme wie SignaturprĂĽfung implementiert, sondern glaubst einfach Dinge. Glaube ist aber nun mal nicht an konkrete OS gebunden.
Oder sie denken, einen Virenbefall kann man dadurch "heilen", dass man den Virus "desinfiziert" oder "in Quarantäne steckt".
Letztendlich alles eine Frage des Aufwandes, wenn man alles über die Vorgehensweise eines Virus weiß, kann man das natürlich alles wieder rückgängig machen. Lohnt nur in der Regel nicht, weil man eben zu wenig weiß.
Das sind Konzepte, die unter Linux/Unix oder in der Internet-Serverwelt gar nicht existieren, weil sie zu kurz hĂĽpfen.
Es gibt auch Virenscanner unter Linux und diese implementieren auch Konzepte wie Quarantäne:
https://serverfault.com/questions/495957/where-is-clamav-quarantine-folder