Los exploradores de virus para Linux buscan virus Windows . La lógica es que su servidor Linux actúa como una ubicación de almacenamiento de archivos para los usuarios que ejecutan Windows y, por lo tanto, la búsqueda de virus de Windows ayudará a proteger a sus usuarios.
Proteger el servidor Linux no es el objetivo. Los virus no son el vector de ataque para los servidores.
El concepto de un virus implica a un usuario en una sesión interactiva. Alguien que abre un correo electrónico en Outlook o documentos en Word, o ejecuta programas que recibió en un correo electrónico. Un virus implica un elemento humano. Los servidores no permiten (o no deberían) permitir leer correos electrónicos y navegar por sitios web. En cambio, los ataques contra los servidores están completamente automatizados; No se requiere humano. Llaman a eso un "gusano" en lugar de un "virus".
Los gusanos son una preocupación en Linux. Pero proteger su servidor de ese tipo de amenaza funciona de manera diferente. Proteger a los usuarios de virus requiere que los usuarios dejen de hacer cosas que no deberían. De ahí el "antivirus". La protección de servidores contra gusanos y vulnerabilidades similares implica la reparación de software vulnerable. Si algo es explotable en su servidor, entonces la cosa necesita ser arreglada.
En otras palabras, no ve los archivos entrantes y verifica si alguno le hará daño si los ejecuta, porque nunca los ejecuta . Si ejecuta el código que le entregó alguien en Internet, ese es su problema. Para solucionar el problema, eliminas o arreglas lo que se comporta de manera peligrosa.
Entonces, por ejemplo, un complemento vulnerable de Wordpress en Linux es vagamente análogo a una instalación vulnerable de Microsoft Office en Windows. En el escritorio de Windows, examina cuidadosamente todos los documentos entrantes de Microsoft Office y verifica si alguno explotará la vulnerabilidad en Office. Pero en el servidor Linux, simplemente elimine o parche su plugin de Wordpress y termine con él. En lugar de mantener un antivirus actualizado, se supone que debes mantener tu servidor actualizado.
Y por otro lado, sí.
Ahora, resulta que hay algo que se llama un Firewall de aplicaciones web , que es sorprendentemente similar al Concepto antivirus, pero aplicado a sitios web en lugar de humanos.
Un WAF se basa en la idea de proteger los sitios vulnerables de la explotación de la misma manera que un antivirus intenta proteger a los escritorios vulnerables. Incluso utiliza aproximadamente la misma técnica (buscar y bloquear ciertos patrones). Pero mientras todos los productos antivirus se equivocan en gran medida por evitar falsos positivos, un WAF se puede configurar para que sea tan permisivo que sea inútil, o tan restrictivo como para romper su sitio.
Su instalación particular debe ser cuidadosamente diseñada para que coincida con su sitio web determinado. Se necesita trabajo, tiempo y mucha paciencia. Pero debería haber un máximo local que le brinde una protección razonable contra las vulnerabilidades que no conoce, al tiempo que mantiene un sitio en funcionamiento.
Aunque tenga cuidado, cuantos más sitios web tenga en un servidor determinado, más difícil será ajustar la configuración de seguridad. En los servidores de alojamiento compartido de propósito general, este tipo de solución es completamente imposible de trabajar debido a la tasa de falsos positivos. En otras palabras, su millaje puede variar.