Escáner de virus en el servidor

6

Veo que muchas personas afirman que los escáneres de virus no son necesarios en un servidor Linux. Pero si este servidor acepta archivos cargados por los usuarios (y permite que otros los descarguen), ¿vale la pena escanear los archivos cuando se cargan en el servidor?

    
pregunta Anthony Kraft 15.03.2014 - 19:13
fuente

4 respuestas

10

Solo porque es Linux, eso no significa que no tendrás un problema.

De hecho, lo que puede puede ser un problema, y lo que will será un problema, será su servicio web. Es probable que Apache, PHP y cualquier software web que ejecute tengan algún tipo de vulnerabilidades o vulnerabilidades, incluso si nadie lo sabe todavía. Todo lo que necesitas es un exploit y bam tienes a alguien que accede a todo tu sistema.

Si bien el riesgo de un virus es definitivamente bajo mientras se ejecuta un servidor Linux, no es cero . Cualquier servidor debe tener algún tipo de cortafuegos y antivirus para la única posibilidad de que algo pueda pasar.

Por supuesto, todavía quieres tomar todas las precauciones que puedas. Asegurarse de que el directorio no pueda aparecer en la lista, de que los permisos de los archivos son de solo lectura para acciones anónimas, el análisis de los archivos solo para los tipos de archivos admitidos, etc. son cosas que pueden ayudar a reducir el riesgo de ataque.

    
respondido por el Thebluefish 15.03.2014 - 19:51
fuente
10

Los exploradores de virus para Linux buscan virus Windows . La lógica es que su servidor Linux actúa como una ubicación de almacenamiento de archivos para los usuarios que ejecutan Windows y, por lo tanto, la búsqueda de virus de Windows ayudará a proteger a sus usuarios.

Proteger el servidor Linux no es el objetivo. Los virus no son el vector de ataque para los servidores.

El concepto de un virus implica a un usuario en una sesión interactiva. Alguien que abre un correo electrónico en Outlook o documentos en Word, o ejecuta programas que recibió en un correo electrónico. Un virus implica un elemento humano. Los servidores no permiten (o no deberían) permitir leer correos electrónicos y navegar por sitios web. En cambio, los ataques contra los servidores están completamente automatizados; No se requiere humano. Llaman a eso un "gusano" en lugar de un "virus".

Los gusanos son una preocupación en Linux. Pero proteger su servidor de ese tipo de amenaza funciona de manera diferente. Proteger a los usuarios de virus requiere que los usuarios dejen de hacer cosas que no deberían. De ahí el "antivirus". La protección de servidores contra gusanos y vulnerabilidades similares implica la reparación de software vulnerable. Si algo es explotable en su servidor, entonces la cosa necesita ser arreglada.

En otras palabras, no ve los archivos entrantes y verifica si alguno le hará daño si los ejecuta, porque nunca los ejecuta . Si ejecuta el código que le entregó alguien en Internet, ese es su problema. Para solucionar el problema, eliminas o arreglas lo que se comporta de manera peligrosa.

Entonces, por ejemplo, un complemento vulnerable de Wordpress en Linux es vagamente análogo a una instalación vulnerable de Microsoft Office en Windows. En el escritorio de Windows, examina cuidadosamente todos los documentos entrantes de Microsoft Office y verifica si alguno explotará la vulnerabilidad en Office. Pero en el servidor Linux, simplemente elimine o parche su plugin de Wordpress y termine con él. En lugar de mantener un antivirus actualizado, se supone que debes mantener tu servidor actualizado.

Y por otro lado, sí.

Ahora, resulta que hay algo que se llama un Firewall de aplicaciones web , que es sorprendentemente similar al Concepto antivirus, pero aplicado a sitios web en lugar de humanos.

Un WAF se basa en la idea de proteger los sitios vulnerables de la explotación de la misma manera que un antivirus intenta proteger a los escritorios vulnerables. Incluso utiliza aproximadamente la misma técnica (buscar y bloquear ciertos patrones). Pero mientras todos los productos antivirus se equivocan en gran medida por evitar falsos positivos, un WAF se puede configurar para que sea tan permisivo que sea inútil, o tan restrictivo como para romper su sitio.

Su instalación particular debe ser cuidadosamente diseñada para que coincida con su sitio web determinado. Se necesita trabajo, tiempo y mucha paciencia. Pero debería haber un máximo local que le brinde una protección razonable contra las vulnerabilidades que no conoce, al tiempo que mantiene un sitio en funcionamiento.

Aunque tenga cuidado, cuantos más sitios web tenga en un servidor determinado, más difícil será ajustar la configuración de seguridad. En los servidores de alojamiento compartido de propósito general, este tipo de solución es completamente imposible de trabajar debido a la tasa de falsos positivos. En otras palabras, su millaje puede variar.

    
respondido por el tylerl 16.03.2014 - 07:26
fuente
6

Depende de lo que está tratando de proteger.

Si subo un archivo infectado por Virus a cualquier servidor (Windows, Linux, Mac OS X, * BSD), eso no hace nada. Es solo un archivo que se encuentra en una carpeta.

Los virus se convierten en un problema en el momento en que alguien los ejecuta. Si el proceso de carga tiene un error que me permite colocar archivos en un directorio donde algo los ejecuta, eso es un problema.

Pero un problema mucho mayor es que una vez que el archivo está en la red, alguien puede recogerlos y ejecutarlos. Siempre que estén en la carpeta de cargas, son prácticamente inofensivos, pero si alguien en otra máquina dentro de la empresa los descarga en su máquina y la ejecuta, obviamente estás jodido.

En teoría, un escáner de virus en la máquina de los usuarios sería suficiente, pero ¿por qué confiar en que cientos o incluso miles de computadoras tienen sus escáneres de virus al día, ejecutándose (algunas personas pueden tener derechos de administrador y deshabilitar el virus?) Escáner, por ejemplo, cuando están desarrollando aplicaciones internas y no necesitan meterse con el depurador). ¿Y quién sabe dónde más está ese archivo ahora? Si ya puede escanear el archivo en el momento en que aparece y solo lanzarlo, ¿por qué no?

Una analogía (algo defectuosa) es la inmigración de EE. UU .: Aunque hay un montón de policías que podrían atrapar a personas sin una Visa / I-94 válida, todavía hay controles de inmigración en los aeropuertos para verificar los pasajeros que acaban de aterrizar. ¿Por qué no solo ahorrar ese dinero? Porque es mucho más fácil y mucho más probable que atrape a los delincuentes allí mismo en la fuente.

    
respondido por el Michael Stum 15.03.2014 - 21:35
fuente
5

Es un error común pensar que los servidores Linux no necesitan software antivirus. Especialmente aquellos servidores que aceptan archivos de usuarios (FTP, carga web, servidores de correo electrónico) necesitan un software AV instalado.

Si los archivos se almacenan en un servidor, a menudo se usan para el procesamiento automático o manual. Dependiendo del tipo de archivo, se puede abusar de esto para inyectar un código ejecutable malintencionado (por ejemplo, macros) o desencadenar vulnerabilidades, como un desbordamiento de búfer cuando se maneja el archivo. Además, cualquier entrada aceptada de los usuarios es siempre un riesgo para la seguridad y debe manejarse con cuidado. Lo que significa que debe ser saneado y validado. AV es una parte de eso.

    
respondido por el Lucas Kauffman 15.03.2014 - 19:19
fuente

Lea otras preguntas en las etiquetas