我的 VPS 上需要安装防病毒程序吗

Question 1

反恶意软件的价值是有争议的。有些人说，根本没有必要使用任何反恶意软件。

这是一个非常不同的观点：对于虚拟专用服务器（也称为虚拟机），您可能需要运行更多的反恶意软件：在虚拟机上运行反恶意软件，以及在运行“虚拟机”软件的计算机上运行反恶意软件。

没有人能保证 IIS 是没有错误的。（事实上，许多版本的 IIS 都存在大量错误，甚至比竞争解决方案的错误还要多。）反恶意软件可能会注意到利用 IIS 内置漏洞的网络攻击的结果，这是完全可以相信的。因此，安装反恶意软件似乎是明智之举。

那么，安装反恶意软件就能保证你的安全吗？不是 100%。 Mikko Hypponen 的“为什么像我这样的防病毒公司无法防范 Flame 和 Stuxnet”表示，“这意味着我们所有人都错过了两年甚至更长时间的检测这种恶意软件的机会。这对我们公司以及整个防病毒行业来说都是一个巨大的失败。”……“事实是，消费级防病毒产品无法防御资源丰富、预算充足的民族国家所制造的针对性恶意软件。”

因此，安装反恶意软件并非完全保护自己免受任何可能攻击的万全之策。但是，它往往有助于抵御许多攻击，并被广泛认为是明智的做法。安装其他防御措施（如基于网络的防火墙）也是如此。有时，其中一些防御措施可能会重叠。有些人可能会说有些防御措施是不必要的。甚至业内专业人士和许多人认为是专家的其他人也持有各种各样的意见。因此，这是一个做出明智、明智的决定的问题，而不是只有一个答案。

说了这么多，让我来简单直接地回答一下您的一个问题。如果您浏览互联网并安装东西，这就是攻击者控制计算机的一种方式。还有其他方法。因此，用一个单词回答您的问题：

“换句话说，不浏览互联网和安装随机的东西是否可能感染病毒？”

是的。

Answer

反恶意软件的价值是有争议的。有些人说，根本没有必要使用任何反恶意软件。

这是一个非常不同的观点：对于虚拟专用服务器（也称为虚拟机），您可能需要运行更多的反恶意软件：在虚拟机上运行反恶意软件，以及在运行“虚拟机”软件的计算机上运行反恶意软件。

没有人能保证 IIS 是没有错误的。（事实上，许多版本的 IIS 都存在大量错误，甚至比竞争解决方案的错误还要多。）反恶意软件可能会注意到利用 IIS 内置漏洞的网络攻击的结果，这是完全可以相信的。因此，安装反恶意软件似乎是明智之举。

那么，安装反恶意软件就能保证你的安全吗？不是 100%。 Mikko Hypponen 的“为什么像我这样的防病毒公司无法防范 Flame 和 Stuxnet”表示，“这意味着我们所有人都错过了两年甚至更长时间的检测这种恶意软件的机会。这对我们公司以及整个防病毒行业来说都是一个巨大的失败。”……“事实是，消费级防病毒产品无法防御资源丰富、预算充足的民族国家所制造的针对性恶意软件。”

因此，安装反恶意软件并非完全保护自己免受任何可能攻击的万全之策。但是，它往往有助于抵御许多攻击，并被广泛认为是明智的做法。安装其他防御措施（如基于网络的防火墙）也是如此。有时，其中一些防御措施可能会重叠。有些人可能会说有些防御措施是不必要的。甚至业内专业人士和许多人认为是专家的其他人也持有各种各样的意见。因此，这是一个做出明智、明智的决定的问题，而不是只有一个答案。

说了这么多，让我来简单直接地回答一下您的一个问题。如果您浏览互联网并安装东西，这就是攻击者控制计算机的一种方式。还有其他方法。因此，用一个单词回答您的问题：

“换句话说，不浏览互联网和安装随机的东西是否可能感染病毒？”

是的。

Question 2

@TOOGAM 非常适合 VPS 系统的常见用途，但对于更一般/传统的服务器安全问题视角，我会把它放在这里。

简短回答，是的，一般来说，任何 Windows 操作系统都应配备反恶意软件平台。除非您在企业环境中使用完全精简、严格监控、无 GUI 的系统，否则表面面积太大了。现在，这些事情都可以在较新的 Windows 服务器上实现（不是想轻视 MS），但对于 VPS 部署来说并不常见。

您说得对，服务器面临的攻击媒介与最终用户工作站（主要是“被动”特洛伊木马）不同，但这种差异实际上使情况变得更糟而不是更好，因为服务器攻击是“主动”的，由对手驱动，并且是非持久的，因为非法操作员可能没有做任何可检测到的事情。

服务器黑客攻击通常会遵循几种流程之一，具体取决于涉及的目标程度、可用的自动化程度以及被利用的系统。但普遍而言，与工作站不同，它涉及攻击服务软件。

远程管理系统（RAS）如 SSH、telnet、VNC。RemoteDesktop 等都是有吸引力的目标。一旦确定，攻击者将尝试利用针对该特定 RAS 的漏洞，并获得一定程度的访问权限。然后，他们将利用第二组权限升级攻击，试图获得对系统的不受限制的访问权限。这些攻击可以自动化，因此可以扩展到相当大的程度。

更令人不安的是应用服务（守护进程）和基于应用程序的攻击。任何可供外界访问的服务都存在可攻击的表面积，试图利用服务堆栈或其配置中的缺陷。服务本质上是远程用户向您的服务器发送命令和输入并请求其采取行动的一种手段，因此事实上，几乎任何守护进程都存在一些可利用的漏洞。

位于服务堆栈顶部的应用程序是最常见的攻击面。针对 Web 服务的攻击包括SQL 注入，CSRF，路径漏洞等（基本上可以利用任何输入机制，包括 cookie、url、输入控件等）通常用于访问底层服务，并最终访问服务器操作系统本身。

既然我们已经了解了威胁形势，那么反恶意软件系统可以通过多种方式帮助预防或缓解攻击。特别是对于服务器，包括应用程序感知防火墙，入侵检测/预防系统（IDPS）和系统漏洞检测（VDS）尤为重要。

应用防火墙和入侵检测系统专门用于监控事件阈值，并且通常了解它们所保护的服务，因此可以提供高级检测和响应，以应对对相关服务而言是恶意的输入，但这些输入在其他情况下似乎是无害的。例如，常见的实用程序失败禁止适用于IP表并检测 SSH 等服务的登录失败尝试。可以配置为如果用户在一段时间内登录失败 3 次，则其 IP 地址将被完全阻止，并在稍后自动解除阻止（如果需要）。这允许特定于应用程序的事件触发系统范围的响应，以防止该用户的所有进一步攻击。

系统漏洞检测器使用威胁/漏洞/软件版本数据库来检测易受攻击的软件，并协助用户修复问题。它们还可以检测不安全的配置，并推荐解决方案来保护漏洞。

传统的文件/进程/内存签名和启发式检测在总体方案中也有其一席之地。它们可以检测用于升级服务的越狱软件（下载或编译时）、检测非法 RAS/Root 工具包和由拥有部分访问权限的攻击者添加的配置，并防止蠕虫类恶意软件。

现代服务器级反恶意软件平台在不同程度上实现了这些组件。在 Linux 中，您通常会根据所提供的服务需求实现自己的组件（如果您使用 SSH，请安装 fail2ban）。对于 Windows 或其他可能运行多项服务的系统，工具套件会尝试提供全面的保护。

因此，总而言之，不同的工作流程需要结合传统和非传统防御技术来保护系统。

Answer