在Web服务器上安装防病毒软件,这是个好主意吗?

14

我刚刚获得了带有Windows 2008 Standard Edition的专用服务器,并且正在尝试进行必要的配置以在其上运行Web应用程序。

想知道,在Web服务器上安装防病毒软件是个好主意吗?在应用程序中,用户无法上传除图像以外的任何文件(并且在保存到服务器之前,他们在应用程序代码中检查了图像)。鼓励我不要安装防病毒软件,以免影响性能或对应用程序造成任何麻烦,这样做会导致我错过任何事情吗?

谢谢

windows  web-server  anti-virus 
e
source
您说文件在保存之前已经在应用程序代码中检查过是否是图像-这对我意味着在您的应用程序看到之前,上传的文件位于某个临时目录中?在这种情况下,它已经在服务器上您可以对其进行检查!您正在使用哪个Web服务器?
史蒂夫·弗利
实际上,图像是在内存中检查的,它们不会保存到任何临时文件夹中。只有通过应用程序的检查后,它们才会保存到磁盘。我使用的是IIS,这是一个ASP.NET应用程序
此外,即使您将文件保存在临时文件夹中但不丢失它,也不会引起任何问题。但是,事实并非如此。

Answers:

18

运行良好的Web服务器应恕我直言不安装商业防病毒(AV)软件包。针对AV软件包进行了优化的Office宏病毒和大众市场特洛伊木马与Web服务器问题的匹配度很低。

您应该做的是:

  1. 绝对痴迷于输入验证。例如:用户无法将恶意内容上传到您的网站(病毒,SQL注入等);您不容易受到跨站点脚本攻击等的威胁。
  2. 使用最新安全更新对服务器进行修补,并根据最佳实践进行配置。看一下Microsoft的安全工具包之类的东西。
  3. 有一个单独的防火墙。对于入侵没有太大帮助,但是它为防止配置错误的网络服务增加了另一层防御,并有助于进行简单的DOS攻击。锁定远程管理可能性等也很有帮助。
  4. 沿着古老的Tripwire的线路在服务器上安装主机入侵检测系统(H-IDS)。

关于这些术语有很多困惑,这些词在这里经常以许多不同的方式使用。要明确的是,我在这里所说的H-IDS是:

  • 计算机上的服务
  • 连续检查和计算计算机上的所有可执行文件
  • 在添加或修改可执行文件时(未经授权)引发警报

实际上,一个好的H-IDS可以做的比这还要多,例如监视文件权限,注册表访问等,但是以上内容足以说明这一点。

主机入侵检测系统需要一些配置,因为如果设置不正确,它会产生很多错误。但是一旦启动并运行,它将比AV软件包捕获更多的入侵。特别是H-IDS应该检测一种黑客后门,而商用AV软件包可能不会检测到这种后门。

H-IDS也减轻了服务器负载,但这是第二个好处-主要好处是更好的检测率。

现在,如果资源有限的话;如果选择是在商业AV包和什么都不做之间,那么我将安装AV。但是要知道这不是理想的。

杰斯珀·M
source
谢谢。我真的不觉得应该安装AV,但是这是第一次管理Web服务器,我担心可能会丢失一些东西。我想没有AV会更好。我将尝试在服务器上运行的内容更加小心。
1

这取决于。如果您不执行任何未知代码,则可能不必要。

如果您有被病毒感染的文件,则文件本身在硬盘上时不会受到伤害。一旦执行,它就会变得有害。您是否控制在服务器上执行的所有内容?

稍有变化就是文件上传。它们对您的服务器无害-如果我上载可操作的图像或受木马感染的.exe,则不会发生任何事情(除非您执行它)。但是,如果其他人随后下载了那些受感染的文件(或者如果在页面上使用了操纵的图像),则他们的PC可能会被感染。

如果您的网站允许用户上传任何所显示或下载的其他用户,那么你可能想要么安装Web服务器上的病毒扫描程序,或者在您的网络某种“病毒扫描服务器”中,扫描每个文件。

第三种选择是安装防病毒软件,但禁用即时访问扫描,以便在非高峰时间进行计划扫描。

并将此答案完全扭转180°:通常,安全要比后悔好。如果您使用的是Web服务器,则很容易意外单击错误的文件并造成破坏。当然,您可以连接到它上千次,从而可以通过RDP进行某些操作而无需接触任何文件,但是在第1001次您会不小心执行该exe文件并感到遗憾,因为您甚至无法确定病毒的作用(如今,他们下载了新文件)。以及来自互联网的代码),并且必须在整个网络上进行一些密集的取证。

迈克尔葡萄汁
source
非常感谢,另一个很好的答案确认了我可以不用AV。
1

如果您说的是基于Windows的,我会的。我还将尝试查找某种形式的主机入侵检测(一种程序,该程序监视/审核服务器上正在更改的文件并向您发出更改通知)。

仅仅因为不更改服务器上的文件并不意味着没有缓冲区溢出或漏洞,该漏洞或漏洞将使其他人可以远程更改服务器上的文件。

当存在漏洞时,通常会在发现和修订发布之间的时间间隔内知道存在漏洞利用的事实,那么在获得修补程序并将其应用之前,还有一段时间。那时,通常存在某种形式的自动利用漏洞,脚本小子正在运行它来扩展其机器人网络。

请注意,这还会影响AV,因为:创建了新的恶意软件,分发了恶意软件,将样本发送给了AV公司,AV公司进行了分析,AV公司发布了新的签名,更新了签名,据说是“安全的”,重复周期。还有一个窗口,在您“接种”之前,窗口会自动传播。

理想情况下,您可以运行某些程序来检查文件更改并向您发出警报,例如TripWire或类似功能,并将日志保留在隔离使用的另一台计算机上,因此,如果系统受到威胁,则不会更改日志。问题在于,一旦检测到该文件是新文件或更改文件,您就已经被感染,一旦被感染或入侵者进入,则现在要相信该机器没有其他更改为时已晚。如果有人破解了系统,他们可能会更改其他二进制文件。

然后就成为一个问题,您是否相信校验和和主机入侵日志以及您自己的技能,可以清理所有内容,包括可能存在的rootkit和Alternate Data Stream文件?还是您执行“最佳实践”并擦除备份并从备份中还原,因为入侵日志至少应该告诉您何时发生?

连接到Internet的运行服务的任何系统都可能被利用。如果您有一个连接到Internet的系统,但实际上没有运行任何服务,那我想您很安全。Web服务器不属于此类别:-)

巴特·西尔弗斯特里姆
source
0

是的,总是。引用超级用户的回答:

如果它已连接到可能连接到Internet的任何计算机,则绝对可以。

有很多可用的选项。虽然我个人不喜欢McAfee或Norton,但它们在那里。还有AVGF-SecureClamAV(尽管win32端口不再活动),而且我敢肯定还有数百个:)

微软甚至一直在开发一个-我不知道它是否在beta之外仍然可用,但是它确实存在。

@J Pablo提到的ClamWin

沃伦
source
2
感谢您的回答,但是..这不是任何Windows服务器,这是Web服务器,因此,此处的性能至关重要。请注意,防病毒软件将扫描访问的每个文件,即。访客请求的任何文件。除了一般的计算机安全准则以外,我还需要一个很好的理由来安装防病毒软件,并且冒着性能问题的风险。
如果配置正确,它不会扫描访问的每个文件-并且没有理由在提供服务时扫描访问时的文件-仅用于攻击等
Warren
1
@ unknown-Performance在Web服务器上最重要吗?相对而言,我建议,如果您的可用开销太低,以至于挤压几个CPU周期进行文件扫描会影响最终用户的网络体验,那么您可能会在设置应用程序方面遇到另一个问题起来
巴特·
@warren,我知道您可以从访问扫描中排除任何目录,但是在这种情况下,首先安装AV的意义何在?我的意思是,如果用户仍然能够在不扫描的情况下上传文件,则在这种情况下在服务器上运行AV没有任何意义。
2
@Bart,对于防病毒软件而言,文件扫描需要花费多个CPU周期,它们会降低仅由您使用的个人计算机的速度,因此,对于成百上千的人访问的Web服务器有何期待?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.