Bir web sunucusuna antivirüs yükleyin, bu iyi bir fikir mi?

Windows 2008 Standard Edition ile özel bir sunucum var ve web uygulamamı çalıştırmak için gerekli yapılandırmayı yapmaya çalışıyorum.

Web sunucusuna bir antivirüs kurmak iyi bir fikir miydi? Uygulamada, kullanıcılar resimler dışında herhangi bir dosya yükleyemez (ve sunucuya kaydedilmeden önce uygulama kodunda resim olup olmadığını kontrol ettiler). Performansı etkilememek veya uygulamada herhangi bir sıkıntıya neden olmamak için bir antivirüs yüklememem teşvik edilir, bunu yaparak bir şey kaçırır mıyım?

Teşekkürler

İyi çalışan bir web sunucusu IMHO'ya ticari bir anti-virüs (AV) paketi yüklenmemiş olmalıdır. AV paketlerinin en iyi duruma getirildiği Office makro virüsleri ve kitlesel pazar truva atları, bir web sunucusunun sorunlarıyla iyi uyumsuzdur.

Yapmanız gerekenler:

1. Giriş doğrulamasına kesinlikle takıntılı. Örnekler: kullanıcıların sitenize kötü amaçlı içerik yükleyememesi (virüs, SQL enjeksiyonu vb.); siteler arası komut dosyası saldırılarına vb. karşı savunmasız olmadığınız
2. Sunucunuzu en son güvenlik güncellemelerine sahip halde tutun ve en iyi uygulamalara göre yapılandırın. Microsofts güvenlik araç seti gibi şeylere bakın .
3. Ayrı bir güvenlik duvarına sahip olun. Saldırılarla ilgili size çok yardımcı olmaz, ancak yanlış yapılandırılmış ağ hizmetlerine karşı başka bir savunma katmanı ekler ve basit DOS saldırılarına yardımcı olur. Ayrıca, uzaktan yönetim olanaklarını vb. Kilitleme konusunda çok yardımcı olur.
4. Saygıdeğer Tripwire hatları boyunca sunucunuza bir host saldırı tespit sistemi (H-IDS) kurun .

Terimler hakkında çok fazla kafa karışıklığı var, kelimeler burada birçok farklı şekilde kullanılıyor. Açıkça söylemek gerekirse, burada bir H-IDS ile ne demek istediğim:

• bir bilgisayarda servis
• bilgisayardaki tüm yürütülebilir dosyaları sürekli olarak kontrol eden
• ve yürütülebilir bir dosya eklendiğinde veya değiştirildiğinde (izinsiz) bir uyarı atar .

Aslında iyi bir H-IDS, dosya izinlerini, Kayıt Defteri erişimini vb.Gibi biraz daha fazlasını yapacaktır, ancak yukarıdakilerin özünü alır.

Ana makine saldırı tespit sistemi bazı yapılandırmalar yapar, çünkü düzgün kurulmazsa birçok yanlış hata verebilir. Ancak, çalışmaya başladıktan sonra AV paketlerinden daha fazla saldırıya neden olur. Özellikle H-IDS, ticari bir AV paketinin muhtemelen algılamayacağı türden bir hacker arka kapısını tespit etmelidir.

H-IDS de sunucu yükünde daha hafiftir, ancak bu ikincil bir faydadır - ana fayda daha iyi bir algılama oranıdır.

Şimdi, kaynaklar sınırlı ise; seçim ticari bir AV paketi ile hiçbir şey yapmıyorsa, AV'yi kuracağım . Ama bunun ideal olmadığını bilin.

Değişir. Bilinmeyen bir kod yürütmüyorsanız, kod gereksiz olabilir.

Virüs bulaşmış bir dosyanız varsa, sabit diskteyken dosyanın kendisi zararsızdır. Sadece çalıştırdığınızda zararlı olur. Sunucuda yürütülen her şeyi kontrol ediyor musunuz?

Dosyaların küçük bir varyasyonu yüklenir. Sunucunuz için zararsızdırlar - manipüle edilmiş bir resim veya trojan bulaşmış .exe yüklersem hiçbir şey olmaz (siz çalıştırmazsanız). Ancak, başka kişiler bu virüslü dosyaları indirirse (veya sayfada manipüle edilen görüntü kullanılırsa), bilgisayarlarına virüs bulaşabilir.

Siteniz, kullanıcıların diğer kullanıcılar için gösterilen veya indirilebilir herhangi bir şey yüklemesine izin veriyorsa , Web Sunucusuna bir Virüs Tarayıcısı yüklemek veya Ağınızda her dosyayı tarayan bir çeşit "Virüs Tarama Sunucusu" olmasını isteyebilirsiniz.

Üçüncü bir seçenek Anti-Virus kurmak, ancak yoğun olmayan zamanlarda programlanmış bir tarama lehine Erişimde taramayı devre dışı bırakmak olacaktır.

Ve bu cevabı tamamen 180 ° döndürmek: Güvende olmak üzgün olmaktan daha iyidir. Web sunucusunda çalışıyorsanız, yanlışlıkla kötü bir dosyayı tıklayıp tahribatı bozmak kolaydır. Elbette, herhangi bir dosyaya dokunmadan RDP üzerinden bir şey yapmak için bin kez bağlanabilirsiniz, ancak 1001. internetten de kod) ve tüm ağınızda bazı yoğun adli tıp gerçekleştirmek zorunda kalacaksınız.

Eğer Windows tabanlıysa, söylediniz, isterim. Ben de bir tür host saldırı tespit bulmaya çalışacağım (sunucuda değişen dosyaları izler / denetler ve değişiklikleri uyarır bir program).

Çünkü sen sunucudaki dosyaları değiştirmiyoruz, uzaktan sunucu üzerinde değişiklik dosyalarına başkası sağlayacak bir tampon taşması veya güvenlik açığı olmadığı anlamına gelmez.

Bir güvenlik açığı olduğunda, keşif ve dağıtılmış düzeltme arasında bir zaman aralığı içinde bir istismar olduğu biliniyorsa, düzeltmeyi alıp uygulayana kadar bir zaman penceresi vardır. O zamanlar genellikle otomatik bir istismar biçimi vardır ve komut dosyası botları bot ağlarını genişletmek için çalıştırırlar.

Bunun AV'leri de etkilediğini unutmayın: yeni kötü amaçlı yazılımlar oluşturuldu, kötü amaçlı yazılımlar dağıtıldı, örnek AV şirketinize gitti, AV şirketi analizleri, AV şirketi yeni imza yayınladı, imzayı güncelleyin, sözde "güvenli", tekrar döngüsünüz. "Masumlaştırılmadan" hala otomatik olarak yayıldığı bir pencere var.

İdeal olarak, dosya değişikliklerini kontrol eden ve TripWire veya benzeri işlevler gibi sizi uyaran bir şey çalıştırabilir ve günlükleri kullanımdan ayrılan başka bir makinede tutabilirsiniz, böylece sistem tehlikeye girerse günlükler değiştirilmez. Sorun, dosya yeni veya değiştirilmiş olarak algılandıktan sonra zaten virüs bulaşmışsa ve virüs bulaştıktan veya davetsiz misafir bir kez girdikten sonra makinenin başka değişikliklere sahip olmadığına güvenmek için çok geç. Birisi sistemi kırmış olsaydı, diğer ikili dosyaları değiştirebilirdi.

O zaman bu soru, sağlama toplamları ve ana izinsiz giriş günlüklerine ve kök dizinler ve muhtemelen orada bulunan Alternatif Veri Akışı dosyaları da dahil olmak üzere her şeyi temizlediğiniz kendi becerilerinize güveniyor musunuz? Yoksa "en iyi uygulamaları" yapıyor ve izinsiz giriş günlükleri en azından ne zaman gerçekleştiğini size bildirmesi gerektiğinden, yedeklemeden silip geri yüklüyor musunuz?

Bir hizmeti çalıştıran Internet'e bağlı herhangi bir sistemden potansiyel olarak yararlanılabilir. İnternete bağlı bir sisteminiz varsa ancak aslında herhangi bir hizmetle çalışmıyorsa, büyük olasılıkla güvende olduğunuzu söyleyebilirim. Web sunucuları bu kategoriye girmez :-)

Evet herzaman. Cevabımı süper kullanıcıdan alıntı :

İnternete bağlı olabilecek herhangi bir makineye bağlıysa, kesinlikle evet.

Birçok seçenek var. Şahsen McAfee veya Norton'u sevmeme rağmen, oradalar. Orada da AVG , F-Secure , ClamAV (win32 portu artık aktif olsa), ve eminim yüzlercesi daha değilim :)

Microsoft bile üzerinde çalışıyor - henüz beta dışında olup olmadığını bilmiyorum, ama var.

@ J Pablo tarafından bahsedilen ClamWin .