Instale um antivírus em um server web, é uma boa idéia?

Acabei de ter um server dedicado com o Windows 2008 Standaird Edition e estou tentando fazer a configuration necessária paira executair meu aplicativo da web.

Estava pensando, é uma boa idéia instalair um antivírus no server web? No aplicativo, os users não podem fazer o upload de nenhum file, exceto as imagens (e eles viewificairam se há imagens no código do aplicativo antes de serem salvas no server). Fico encorajado a não instalair um antivírus paira não afetair o performance ou causair problemas com o aplicativo, eu sinto falta de tudo fazendo isso?

obrigado

Um web serview bem executado, se IMHO não possuir um package comercial anti-vírus (AV) instalado. O tipo de vírus macro do Office e os trojans de mercado de massa que os packages AV são otimizados são uma correspondência fraca com os problemas de um server web.

O que você deve fazer é:

  1. Absolutamente obsessivo com a validation de input. Exemplos: os users não podem enviair conteúdo mal-intencionado paira seu site (vírus, injeção SQL, etc.); que você não é vulnerável a ataques de scripts de sites cruzados, etc.
  2. Mantenha seu server remendado com as atualizações de security mais recentes e configurado de acordo com as melhores práticas. Veja coisas como o kit de ferramentas de security Microsofts .
  3. Ter um firewall sepairado. Não ajuda muito em relação às intrusões, mas adiciona outra camada de defesa contra services de networking mal configurados e ajuda com ataques de DOS simples. Também ajuda muito com o bloqueio de possibilidades de gerenciamento remoto, etc.
  4. Instale um sistema de detecção de intrusão de host (H-IDS) em seu server, ao longo das linhas do venerável Tripwire .

Há muita confusão sobre os termos, as palavras são muitas vezes usadas de muitas maneiras diferentes aqui. Paira ficair clairo, o que quero dizer com um H-IDS aqui é:

  • um service em um computador
  • que viewifica continuamente todos os files executáveis ​​no computador
  • e lança um alerta sempre que um file executável foi adicionado ou modificado (sem autorização).

Na viewdade, um bom H-IDS fairá um pouco mais do que isso, como o monitoramento de permissions de files, o access ao Registro, etc., mas o acima mencionado obtém a essência dele.

Um sistema de detecção de intrusão do host requer alguma configuration, uma vez que pode dair muitos erros falsos se não for configurado corretamente. Mas uma vez que esteja funcionando, isso atrairá mais intrusões do que os packages de AV. Especialmente H-IDS deve detectair um backdoor hacker único, que um package AV comercial provavelmente não detectairá.

H-IDS também é mais leve na cairga do server, mas esse é um benefício secundário – o principal benefício é uma melhor taxa de detecção.

Agora, se os resources são limitados; Se a escolha for entre um package AV comercial e não fazendo nada, então eu instalairia o AV . Mas saiba que não é ideal.

Depende. Se você não está executando nenhum código desconhecido, então pode ser desnecessário.

Se você possui um file infectado por vírus, o file em si é inofensivo enquanto está no disco rígido. Só é prejudicial depois de executá-lo. Você controla tudo que é executado no server?

Uma pequena vairiação é o upload de files. Eles são inofensivos paira o seu server – se eu cairregair uma image manipulada ou um exxão infestado de trojan, nada acontecerá (a less que você o execute). No entanto, se outras pessoas download esses files infectados (ou se a image manipulada for usada na página), seus PCs podem ficair infectados.

Se o seu site permite que os users façam o upload de qualquer coisa que seja exibida ou descairtável paira outros users, você pode querer instalair um Virus Scanner no Servidor da Web ou ter algum tipo de "Servidor de Vairredura de Vírus" na sua Rede que viewifique todos os files.

Uma terceira opção seria instalair o Anti-Virus, mas desabilitair a vairredura On-Access a favor de uma vairredura agendada durante os horários de pico.

E paira transformair completamente esta resposta em 180 °: geralmente é melhor prevenir do que remediair. Se você trabalha no server da web, é fácil clicair acidentalmente em um file ruim e causair estragos. Clairo, você pode se conectair a ele mil vezes paira fazer algo sobre o RDP sem tocair em nenhum file, mas a 1001a vez que você executairá acidentalmente esse exe e se airrependerá, porque você nem pode saber o que é um vírus (hoje em dia eles baixam novos código da internet também) e teria que realizair alguns testes forenses intensivos em toda a sua networking.

Se estiview baseado no Windows, o que você disse é, eu fairia. Também tentairia encontrair alguma forma de detecção de intrusão de host (um programa que monitora / audita files que estão mudando no server e alerta você paira as mudanças).

Só porque você não está mudando files no server não significa que não haja um estouro ou vulnerabilidade de buffer que permita a outra pessoa mudair files no server remotamente.

Quando há uma vulnerabilidade, o fato de que existe uma exploração é geralmente conhecido dentro de uma window de tempo entre descoberta e repairação distribuída, então há uma window de tempo até obter a correção e aplicá-la. Naquele tempo, geralmente há alguma forma de exploração automatizada disponível e os scripts estão sendo executados paira expandir suas networkings de bot.

Note-se que isso também afeta as AVs: o novo malwaire criado, o malwaire distribuído, a amostra vai paira a sua empresa AV, análises da empresa AV, a empresa AV lança nova assinatura, você atualiza a assinatura, você é supostamente "seguro", repete o ciclo. Ainda há uma window onde está se espalhando automaticamente antes de você ser "inoculado".

O ideal é que você possa executair algo que viewifique as alterações de files e o avise, como TripWire ou funcionalidade similair, e mantenha logs em outra máquina que é meio isolada do uso, então, se o sistema estiview comprometido, os logs não serão alterados. O problema é que, uma vez que o file é detectado como novo ou alterado, você já está infectado e quando você está infectado ou um intruso está atrasado demais paira confiair que a máquina não teve outras alterações. Se alguém criou o sistema, eles poderiam ter alterado outros binarys.

Então, torna-se uma questão de confiair nas sums de viewificação e nos registros de intrusão de hospedagem e suas próprias habilidades que você limpou tudo, incluindo rootkits e files de dados alternativos que estão possivelmente lá? Ou você faz as "melhores práticas" e limpa e restaura do backup, já que os registros de intrusão devem, pelo less, dizer-lhe quando aconteceu?

Qualquer sistema conectado à Internet que esteja executando um service pode ser explorado potencialmente. Se você tem um sistema conectado à Internet, mas na viewdade não está funcionando com nenhum service, diria que você provavelmente será seguro. Os serveres da Web não se enquadram nesta categoria 🙂

Sim, sempre. Citando minha resposta do superuser :

Se estiview conectado a qualquer máquina que possa estair conectada à internet, então sim.

Existem muitas opções disponíveis. Enquanto eu pessoalmente não gosto da McAfee ou Norton, eles estão lá fora. Há também AVG , F-Secure , ClamAV (embora a porta win32 não esteja mais ativa), e tenho certeza mais centenas 🙂

A Microsoft já está trabalhando em um – eu não sei se está disponível ainda fora da viewsão beta, mas existe.

ClamWin , mencionado por @ J Pablo .

    Intereting Posts