我刚刚获得了Windows 2008 Standard Edition的专用服务器,并试图进行必要的configuration来运行我的Web应用程序。
想知道,在Web服务器上安装防病毒软件是个好主意吗? 在应用程序中,用户不能上传除图像以外的任何文件(并且在保存在服务器上之前,他们检查应用程序代码中的图像)。 我鼓励不安装防病毒软件,以免影响性能或者导致应用程序出现任何问题,这样做会错过任何事情吗?
谢谢
一个运行良好的networking服务器,恕我直言,没有安装商业反病毒软件包。 AV软件包经过优化的Officemacros病毒和大规模市场木马与Web服务器的问题很不匹配。
你应该做的是:
这些术语有很多混淆,这里的单词经常以不同的方式使用。 清楚的是,H-IDS的意思是:
其实一个好的H-IDS会做的比这个多一点,比如监视文件权限,registry访问等等,但是上面得到了它的要点。
主机入侵检测系统需要进行一些configuration,因为如果设置不当,可能会产生很多错误的错误。 但一旦启动并运行,它将比AV软件包吸收更多的入侵。 特别是H-IDS应该检测一个独一无二的黑客后门,这个商业AV包可能不会检测到。
H-IDS在服务器负载上也较轻,但这是次要好处 – 主要好处是更好的检测率。
现在,如果资源有限, 如果select在商业AV套件和无所事事之间,那么我会安装AV 。 但是要知道这并不理想。
这取决于。 如果你没有执行任何未知的代码,那么这可能是不必要的。
如果您有受病毒感染的文件,则文件本身在硬盘上是无害的。 一旦你执行它只会有害。 你是否控制在服务器上执行的所有内容?
一个小的变化是上传文件。 它们对你的服务器是无害的 – 如果我上传一个操纵的图像或木马感染的.exe,什么都不会发生(除非你执行它)。 但是,如果其他人下载了这些受感染的文件(或者在页面上使用了被操纵的图像),那么他们的PC可能会被感染。
如果您的站点允许用户上传其他用户显示或下载的任何内容 ,则可能需要在Web服务器上安装病毒扫描程序,或者在您的networking中安装某种“病毒扫描服务器”来扫描每个文件。
第三个选项是安装反病毒软件,但在非高峰时间禁用按访问扫描,以支持预设扫描。
把这个答案彻底的转向180度:通常比安慰更好。 如果你在networking服务器上工作,很容易点击一个坏的文件,破坏破坏。 当然,你可以连接上千次,而不用接触任何文件,但是第1001次你会意外地执行这个exe文件,并且后悔,因为你甚至不知道病毒的作用(现在他们下载新的来自互联网的代码),并将不得不在你的整个networking上进行一些密集的取证。
如果它是基于Windows的,你说的是,我会的。 我也会尝试find某种forms的主机入侵检测(监视/审计在服务器上发生变化的文件并提醒您所做的更改的程序)。
仅仅因为您没有更改服务器上的文件并不意味着没有缓冲区溢出或漏洞,允许其他人远程更改服务器上的文件。
当存在漏洞时,在发现和修复发布之间的时间窗口内通常会发现存在漏洞的事实,那么在获得修复和应用之前,需要一段时间。 在那个时候,通常会有一些自动化漏洞利用的forms,脚本小子运行它来扩展他们的机器人networking。
请注意,这也会影响到AV,因为:新的恶意软件创build,恶意软件分发,样品去你的AV公司,AV公司分析,AV公司发布新的签名,你更新签名,你应该是“安全”,重复周期。 在“接种”之前,还有一个窗口会自动传播。
理想情况下,您可以运行一些检查文件更改的提示,例如TripWire或类似的function,并将日志保存在与使用隔离的另一台计算机上,这样,如果系统受到威胁,则不会更改日志。 麻烦的是,一旦文件被检测到新的或者被改变了,你已经被感染了,一旦你被感染了,或者入侵者已经来不及相信机器还没有其他的改变。 如果有人破解了系统,他们可能会改变其他的二进制文件。
那么这就成了一个你相信校验和和主机入侵日志以及你自己的技能的问题,你清理了所有的东西,包括可能存在的Rootkit和Alternate Data Stream文件? 或者,您是否执行“最佳实践”并从备份中进行擦除和恢复,因为入侵日志至less应该告诉您什么时候发生?
连接到运行服务的Internet的任何系统都可能被利用。 如果你有一个系统连接到互联网,但没有真正运行任何服务,我会说你最有可能安全。 Web服务器不属于这个类别:-)
是的,总是。 引用超级用户的回答:
如果它连接到可能连接到互联网的任何机器,那么绝对是的。
有很多选项可用。 虽然我个人不喜欢迈克菲或诺顿,他们在那里。 还有AVG , F-Secure , ClamAV (尽pipewin32端口不再有效),而且我肯定还有数百个:)
微软甚至一直在努力 – 我不知道它是否可用,但它确实存在。
ClamWin ,由@ J Pablo提到。