web-dev-qa-db-ja.com

Webサーバーにウイルス対策をインストールします。これは良いアイデアですか?

Windows 2008 Standard Editionを備えた専用サーバーを取得し、その上でWebアプリを実行するために必要な構成を実行しようとしています。

Webサーバーにウイルス対策ソフトウェアをインストールするのは良い考えですか?アプリでは、ユーザーは画像以外のファイルをアップロードできません(サーバーに保存する前に、アプリのコードで画像であることを確認しました)。パフォーマンスに影響を与えたり、アプリで問題を引き起こしたりしないように、ウイルス対策をインストールしないことをお勧めします。これを行うことで何かを見逃すことはありますか?

ありがとう

14
Mee

正常に実行されているWebサーバーには、商用のウイルス対策(AV)パッケージがインストールされていないことが必要です。 AVパッケージが最適化される種類のOfficeマクロウイルスや大衆市場向けトロイの木馬は、Webサーバーの問題にあまり適合しません。

あなたがすべきことは:

  1. 入力の検証には絶対にこだわってください。例:ユーザーが悪意のあるコンテンツをサイトにアップロードできないこと(ウイルス、SQLインジェクションなど)。クロスサイトスクリプティング攻撃などに対して脆弱ではないこと.
  2. サーバーに最新のセキュリティ更新プログラムを適用し、ベストプラクティスに従って構成します。 Microsofts security toolkit のようなものを見てください。
  3. 別のファイアウォールを使用します。侵入に関してはあまり役立ちませんが、ネットワークサービスの設定ミスに対する防御層がさらに追加され、単純なDOS攻撃に役立ちます。また、リモート管理の可能性を封じ込めるなどにも役立ちます。
  4. ホスト侵入検知システム(H-IDS)を、由緒ある Tripwire のラインに沿ってサーバーにインストールします。

用語については多くの混乱があり、単語はここで多くの異なる方法で使用されることがよくあります。明確にするために、ここでのH-IDSの意味は次のとおりです。

  • コンピュータ上のサービス
  • コンピュータ上のすべての実行可能ファイルを継続的にチェックサムします
  • および実行可能ファイルが追加されたときまたは変更されたとき(承認なし)にアラートをスローします。

実際、優れたH-IDSは、ファイルのアクセス許可、レジストリアクセスの監視など、これよりも少し多くのことを行いますが、上記はその要点を取得します。

ホスト侵入検知システムは、適切に設定しないと多くの誤ったエラーを発生させる可能性があるため、いくつかの構成をとります。しかし、稼働すると、AVパッケージよりも多くの侵入を検出します。特にH-IDSは、市販のAVパッケージでは検出されない、唯一無二のハッカーバックドアを検出する必要があります。

H-IDSはサーバーの負荷も軽くなりますが、これは副次的な利点です。主な利点は、検出率が向上することです。

さて、リソースが限られている場合。 市販のAVパッケージを選択して何もしない場合は、AVをインストールします。しかし、それが理想的ではないことを知ってください。

18
Jesper M

場合によります。不明なコードを実行していない場合は、不要な可能性があります。

ウイルスに感染したファイルがある場合、ハードドライブ上にあるファイル自体は無害です。実行して初めて有害になります。サーバーで実行されるすべてを制御していますか?

わずかなバリエーションはファイルのアップロードです。これらはサーバーにとって無害です。操作されたイメージまたはトロイの木馬に感染した.exeをアップロードした場合、何も起こりません(実行しない限り)。ただし、他のユーザーがこれらの感染ファイルをダウンロードした場合(または操作された画像がページで使用された場合)、PCが感染する可能性があります。

他のユーザーに表示またはダウンロード可能なanythingのアップロードをサイトで許可している場合は、Webサーバーにウイルススキャナーをインストールするか、または何らかの "ウイルススキャンサーバー"をすべてのファイルをスキャンするネットワーク。

3番目のオプションは、アンチウイルスをインストールし、オンアクセススキャンを無効にして、オフピーク時にスケジュールスキャンを優先することです。

そして、この答えを完全に180度回転させるには、通常、後悔するより安全である方が良いです。 Webサーバーで作業している場合、誤って不良ファイルをクリックして大混乱を引き起こすことは簡単です。確かに、何千回も接続してRDP経由でファイルに触れることなく何かを実行できますが、ウイルスが何を実行するかを確実に知ることができないため、誤ってそのexeを実行して後悔する1001回目です(最近では、新しいファイルをダウンロードしています)インターネットからのコードも)、ネットワーク全体でいくつかの集中的なフォレンジックを実行する必要があります。

1
Michael Stum

Windowsベースの場合は、そうだと思います。また、何らかの形でホスト侵入検知(サーバー上で変更されているファイルを監視/監査し、変更について警告するプログラム)を見つけてみます。

あなたがサーバー上のファイルを変更していないからといって、誰かがリモートでサーバー上のファイルを変更できるようなバッファオーバーフローや脆弱性がないということではありません。

脆弱性が存在する場合、通常、エクスプロイトが存在するという事実は、発見と修正の配布の間の時間枠内に知られています。修正を入手して適用するまでの時間枠があります。その間、通常は何らかの形で自動化されたエクスプロイトが利用可能であり、スクリプトキディがボットネットワークを拡張するためにそれを実行しています。

これはAVにも影響を与えることに注意してください。新しいマルウェアが作成され、マルウェアが配布され、サンプルがAV会社に送信され、AV会社が分析し、AV会社が新しい署名をリリースし、署名を更新し、「安全」であると考えられ、サイクルを繰り返します。 「予防接種」を受ける前に、ウィンドウが自動的に広がるウィンドウがまだあります。

理想的には、TripWireや類似の機能など、ファイルの変更をチェックして警告する何かを実行し、システムが危険にさらされてもログが変更されないように、使用から隔離された別のマシンにログを保持することができます。問題は、ファイルが新しいファイルまたは変更されたファイルとして検出されると、既に感染していて、感染したり侵入者が侵入したりすると、マシンに他の変更が加えられていないことを信じるには遅すぎるということです。誰かがシステムをクラックした場合、他のバイナリを変更した可能性があります。

次に、チェックサムとホスト侵入ログ、およびそこに存在する可能性のあるルートキットと代替データストリームファイルを含むすべてをクリーンアップした独自のスキルを信頼するかという問題になります。または、侵入ログには少なくともいつ発生したかが示されているため、「ベストプラクティス」を実行して、バックアップからワイプして復元しますか?

サービスを実行しているインターネットに接続されているシステムは、潜在的に悪用される可能性があります。システムがインターネットに接続されていても、実際にはサービスを実行していない場合は、おそらく安全だと思います。 Webサーバーはこのカテゴリに分類されません:-)

1

はい、いつも。 superuser から私の答えを引用:

インターネットに接続されている可能性のあるマシンに接続されている場合、完全にそうです。

利用可能な多くのオプションがあります。私は個人的にマカフィーやノートンは好きではありませんが、彼らはそこにいます。 [〜#〜] avg [〜#〜]F-SecureClamAV もあります(ただし、win32ポートはアクティブではなくなりました) 、そして私はさらに数百と確信しています:)

Microsoftは1つに取り組んでさえいます-それがまだベータの外で利用可能かどうかはわかりませんが、それは存在します。

ClamWin 、@ J Pablo が言及.

0
warren