Esto se basa en Podcast de intercambio de pila # 25
Realmente no entiendo por qué tendría que haber una revisión de virus en los archivos cargados. Por lo general, sería una mala idea ejecutar cualquier cosa que se haya cargado, así que, siempre que se asegure de que los archivos no puedan ejecutarse ... Por supuesto, también uso Linux para mis servidores, así dejo el bit de "ejecutar" apagado.
"siempre que se asegure de que los archivos no puedan ejecutarse"
La mayoría de las teorías formales de seguridad se basan en una expresión lógica de una o condiciones. El problema con las teorías formales es que no anticipan comportamientos fuera del modelo. ¿Cómo se asegura de que los archivos no puedan ejecutarse?
Incluso las máquinas Linux y Mac OS X / BSD ocasionalmente entran en contacto con sistemas de archivos que no tienen permisos de ejecución. Específicamente, la mayoría de los medios flash extraíbles están formateados como FAT32.
¿Sus máquinas Linux montan automáticamente medios extraíbles?
¿Tiene WINE u otro marco de compatibilidad de Windows instalado?
Si respondió afirmativamente a estas dos preguntas, entonces felicitaciones: ¡también puede estar infectado por el malware de Windows!
Por otra parte, si analiza todos los archivos de forma predeterminada, entonces tiene menos de qué preocuparse.
No estoy de acuerdo con Hendrik. La razón principal para comprobar si hay archivos maliciosos es para mantener sus propios sistemas en funcionamiento de manera eficiente. Luego, en segundo lugar para mantener a sus clientes limpios. Si carece de los recursos para operar, pronto no tendrá ninguno. Y los archivos de escaneo de virus no son realmente una tarea pesada si lo automatiza.
La razón principal para verificar los archivos cargados en busca de virus, es que puede afirmar que utilizó tecnología y procesos de vanguardia para proteger a sus clientes.
Suponga que otro usuario se infecta con un archivo descargado de sus servidores. Podría intentar demandarlo o denunciarlo a las autoridades comerciales.
El problema es que su suposición principal es, o puede ser, defectuosa en muchas circunstancias. Usted dice que:
En general, sería una mala idea ejecutar cualquier cosa que se haya subido
La comprobación de virus / malware en la carga es agregar un nivel de protección porque las circunstancias cambian, ocurren errores, se descubren vulnerabilidades.
Es posible que el servidor no esté ejecutando nada; si ayuda, considérelo como un disco más inteligente. Un usuario guarda un archivo infectado en el disco / en su servidor, otro usuario copia el archivo. El servidor nunca ejecutó el archivo, pero sirvió como un vector para propagar la infección.
Por lo tanto, tiene sentido revisar los archivos a medida que se almacenan, incluso si el servidor en sí no es necesariamente vulnerable a las infecciones.
Sin haber escuchado el podcast en sí, supongo que depende de lo que esté haciendo con los archivos cargados. El solo hecho de quitar el bit de ejecución no ayudará, por ejemplo. Si alguien carga un archivo php en la raíz de su documento, llama a su URL.
La comprobación de AV es muy limitada en la detección de malware.
La mejor solución es convertir los archivos a un formato diferente y tener cuidado con las extensiones de archivo, como se explica en aquí recientemente .
Lea otras preguntas en las etiquetas antivirus file-upload