Mee Asked: 2009-09-13 22:57:00 +0800 CST2009-09-13 22:57:00 +0800 CST 2009-09-13 22:57:00 +0800 CST 在 Web 服务器上安装防病毒软件,这是个好主意吗? 772 我刚刚获得了一台装有 Windows 2008 标准版的专用服务器,并且正在尝试进行必要的配置以在其上运行我的 Web 应用程序。 想知道,在网络服务器上安装防病毒软件是个好主意吗?在应用程序中,用户不能上传除图像以外的任何文件(并且在保存到服务器之前,他们在应用程序代码中检查了是否为图像)。建议我不要安装防病毒软件,以免影响性能或导致应用程序出现任何问题,这样做我会错过任何事情吗? 谢谢 windows 4 个回答 Voted Best Answer user2874 2009-09-14T01:06:54+08:002009-09-14T01:06:54+08:00 恕我直言,运行良好的网络服务器应该没有安装商业防病毒 (AV) 包。为 AV 软件包优化的 Office 宏病毒和大众市场木马与 Web 服务器的问题不匹配。 你应该做的是: 绝对痴迷于输入验证。示例:用户不能将恶意内容上传到您的站点(病毒、SQL 注入等);你不容易受到跨站点脚本攻击等。 使用最新的安全更新更新您的服务器,并根据最佳实践进行配置。看看微软的安全工具包之类的东西。 有一个单独的防火墙。在入侵方面对您没有多大帮助,但它增加了另一层防御配置错误的网络服务,并有助于简单的 DOS 攻击。它还有助于锁定远程管理的可能性等。 在您的服务器上安装主机入侵检测系统(H-IDS),就像古老的Tripwire一样。 这些术语有很多混淆,这些词在这里经常以多种不同的方式使用。需要明确的是,我在这里所说的 H-IDS 是指: 计算机上的服务 它不断校验和计算计算机上的所有可执行文件 并在添加或修改可执行文件(未经授权)时引发警报。 实际上,一个好的 H-IDS 会做更多的事情,比如监控文件权限、注册表访问等,但上面的内容是它的要点。 主机入侵检测系统需要一些配置,因为如果设置不当,它可能会产生很多错误错误。但是一旦它启动并运行,它会比 AV 包捕获更多的入侵。尤其是 H-IDS 应该能够检测到独一无二的黑客后门,而商业 AV 包可能无法检测到这种后门。 H-IDS 的服务器负载也较轻,但这是次要好处——主要好处是更好的检测率。 现在,如果资源有限;如果在商业 AV 包和什么都不做之间做出选择,那么我会安装 AV。但要知道这并不理想。 Bart Silverstrim 2009-09-14T04:25:39+08:002009-09-14T04:25:39+08:00 如果它是基于 Windows 的,就像你说的那样,我会的。我还会尝试找到某种形式的主机入侵检测(一个监视/审核服务器上正在更改的文件并提醒您更改的程序)。 仅仅因为您没有更改服务器上的文件并不意味着不存在允许其他人远程更改服务器上的文件的缓冲区溢出或漏洞。 当存在漏洞时,通常在发现和分发修复之间的时间窗口内就知道存在漏洞这一事实,那么在您获得修复并应用它之前还有一个时间窗口。在那个时候,通常会有某种形式的自动漏洞利用可用,脚本小子正在运行它来扩展他们的机器人网络。 请注意,这也会影响 AV,因为:创建新的恶意软件,分发恶意软件,样本转到您的 AV 公司,AV 公司分析,AV 公司发布新签名,您更新签名,您应该是“安全的”,重复循环。在你被“接种”之前,仍有一个窗口会自动传播。 理想情况下,您可以只运行检查文件更改并向您发出警报的东西,例如 TripWire 或类似功能,并将日志保存在另一台与使用隔离的机器上,因此如果系统受到破坏,日志不会被更改。问题在于,一旦文件被检测为新文件或被更改,您就已经被感染了,一旦您被感染或有入侵者进入,再相信机器没有进行其他更改就为时已晚。如果有人破解了系统,他们可能会更改其他二进制文件。 那么问题来了,您是否信任校验和和主机入侵日志以及您自己清理所有内容(包括可能存在的 rootkit 和备用数据流文件)的技能?或者您是否执行“最佳实践”并从备份中擦除和恢复,因为入侵日志至少应该告诉您它何时发生? 任何连接到互联网运行服务的系统都可能被利用。如果您的系统连接到 Internet 但实际上没有运行任何服务,我会说您很可能是安全的。Web 服务器不属于此类别 :-) Michael Stum 2009-09-14T00:17:54+08:002009-09-14T00:17:54+08:00 这取决于。如果您没有执行任何未知代码,那么它可能是不必要的。 如果您有受病毒感染的文件,则文件本身在硬盘驱动器上时是无害的。一旦你执行它,它只会变得有害。您是否控制在服务器上执行的所有内容? 一个轻微的变化是文件的上传。它们对你的服务器是无害的——如果我上传一个经过处理的图像或木马感染的 .exe,什么都不会发生(除非你执行它)。但是,如果其他人随后下载了那些受感染的文件(或者如果在页面上使用了被操纵的图像),那么他们的 PC 可能会被感染。 如果您的站点允许用户上传任何显示或可供其他用户下载的内容,那么您可能希望在 Web 服务器上安装病毒扫描程序,或者在您的网络中安装某种“病毒扫描服务器”来扫描每个文件。 第三种选择是安装防病毒软件,但禁用按访问扫描,以便在非高峰时间进行计划扫描。 并将这个答案完全扭转 180 度:通常安全总比后悔好。如果您在 Web 服务器上工作,很容易意外单击错误文件并造成严重破坏。当然,您可以连接到它一千次通过 RDP 执行某些操作而不接触任何文件,但是第 1001 次您会意外执行该 exe 并后悔,因为您甚至无法确定病毒的作用(现在他们下载新来自互联网的代码),并且必须在您的整个网络上执行一些密集的取证。 warren 2009-09-13T23:08:44+08:002009-09-13T23:08:44+08:00 是的,总是。引用我的超级用户回答: 如果它连接到任何可能连接到 Internet 的机器,那么绝对可以。 有很多选择。虽然我个人不喜欢 McAfee 或 Norton,但它们就在那里。还有AVG,F-Secure,ClamAV(虽然 win32 端口不再活动),我敢肯定还有数百个 :) 微软甚至一直在开发一个——我不知道它是否在测试版之外可用,但它确实存在。 @J Pablo提到的ClamWin。
恕我直言,运行良好的网络服务器应该没有安装商业防病毒 (AV) 包。为 AV 软件包优化的 Office 宏病毒和大众市场木马与 Web 服务器的问题不匹配。
你应该做的是:
这些术语有很多混淆,这些词在这里经常以多种不同的方式使用。需要明确的是,我在这里所说的 H-IDS 是指:
实际上,一个好的 H-IDS 会做更多的事情,比如监控文件权限、注册表访问等,但上面的内容是它的要点。
主机入侵检测系统需要一些配置,因为如果设置不当,它可能会产生很多错误错误。但是一旦它启动并运行,它会比 AV 包捕获更多的入侵。尤其是 H-IDS 应该能够检测到独一无二的黑客后门,而商业 AV 包可能无法检测到这种后门。
H-IDS 的服务器负载也较轻,但这是次要好处——主要好处是更好的检测率。
现在,如果资源有限;如果在商业 AV 包和什么都不做之间做出选择,那么我会安装 AV。但要知道这并不理想。
如果它是基于 Windows 的,就像你说的那样,我会的。我还会尝试找到某种形式的主机入侵检测(一个监视/审核服务器上正在更改的文件并提醒您更改的程序)。
仅仅因为您没有更改服务器上的文件并不意味着不存在允许其他人远程更改服务器上的文件的缓冲区溢出或漏洞。
当存在漏洞时,通常在发现和分发修复之间的时间窗口内就知道存在漏洞这一事实,那么在您获得修复并应用它之前还有一个时间窗口。在那个时候,通常会有某种形式的自动漏洞利用可用,脚本小子正在运行它来扩展他们的机器人网络。
请注意,这也会影响 AV,因为:创建新的恶意软件,分发恶意软件,样本转到您的 AV 公司,AV 公司分析,AV 公司发布新签名,您更新签名,您应该是“安全的”,重复循环。在你被“接种”之前,仍有一个窗口会自动传播。
理想情况下,您可以只运行检查文件更改并向您发出警报的东西,例如 TripWire 或类似功能,并将日志保存在另一台与使用隔离的机器上,因此如果系统受到破坏,日志不会被更改。问题在于,一旦文件被检测为新文件或被更改,您就已经被感染了,一旦您被感染或有入侵者进入,再相信机器没有进行其他更改就为时已晚。如果有人破解了系统,他们可能会更改其他二进制文件。
那么问题来了,您是否信任校验和和主机入侵日志以及您自己清理所有内容(包括可能存在的 rootkit 和备用数据流文件)的技能?或者您是否执行“最佳实践”并从备份中擦除和恢复,因为入侵日志至少应该告诉您它何时发生?
任何连接到互联网运行服务的系统都可能被利用。如果您的系统连接到 Internet 但实际上没有运行任何服务,我会说您很可能是安全的。Web 服务器不属于此类别 :-)
这取决于。如果您没有执行任何未知代码,那么它可能是不必要的。
如果您有受病毒感染的文件,则文件本身在硬盘驱动器上时是无害的。一旦你执行它,它只会变得有害。您是否控制在服务器上执行的所有内容?
一个轻微的变化是文件的上传。它们对你的服务器是无害的——如果我上传一个经过处理的图像或木马感染的 .exe,什么都不会发生(除非你执行它)。但是,如果其他人随后下载了那些受感染的文件(或者如果在页面上使用了被操纵的图像),那么他们的 PC 可能会被感染。
如果您的站点允许用户上传任何显示或可供其他用户下载的内容,那么您可能希望在 Web 服务器上安装病毒扫描程序,或者在您的网络中安装某种“病毒扫描服务器”来扫描每个文件。
第三种选择是安装防病毒软件,但禁用按访问扫描,以便在非高峰时间进行计划扫描。
并将这个答案完全扭转 180 度:通常安全总比后悔好。如果您在 Web 服务器上工作,很容易意外单击错误文件并造成严重破坏。当然,您可以连接到它一千次通过 RDP 执行某些操作而不接触任何文件,但是第 1001 次您会意外执行该 exe 并后悔,因为您甚至无法确定病毒的作用(现在他们下载新来自互联网的代码),并且必须在您的整个网络上执行一些密集的取证。
是的,总是。引用我的超级用户回答:
如果它连接到任何可能连接到 Internet 的机器,那么绝对可以。
有很多选择。虽然我个人不喜欢 McAfee 或 Norton,但它们就在那里。还有AVG,F-Secure,ClamAV(虽然 win32 端口不再活动),我敢肯定还有数百个 :)
微软甚至一直在开发一个——我不知道它是否在测试版之外可用,但它确实存在。
@J Pablo提到的ClamWin。