Лидеры форума

Всем привет ! На меня иногда находит и я начинаю размышлять, а как-же улучшить усложнить задачу хакерам, предлагаю здесь поразмышлять, ну и мне интересно мнение здешних специалистов, итак вопрос такой: Есть сервер, не важно VPS или дедик, будем рассматривать сервер с *nix системой, это Дебиан, Red Hat, CentOS, FreeBSD не важно... Сервер используется для размещения сайтов, почты и т.д. Так-вот я по началу думал, а зачем АВ на сервере ? Ведь это-же Линукс, типо-там разграничение прав и всё такое... А сейчас изменил своё мнение по следующим причинам: 1.Сайты имеют свойства загадочно взламоваться в самый неудобный момент и хакеры очень часто заливают различные шеллы и беккдуры/вирусы на сервер, эти шеллы и Ко, часто детектятся АВ, т.к. какеры ОЧЕНЬ ленивые люди и используют часто всё из паблика, даже не меняя код и т.д., для уменьшения детекта; 2.Многие веб-мастера, в частности и я не без такого греха, устанавливают скажем-так сомнительные плагины к CMS и другое сомнительное ПО, а ведь даже если ставить CMS и софт с офф. источников, навряд-ли кто-то делает аудит кода на безопасность, на отсутствие вирусов/шеллов и тут опять АВ может очень так не плохо помочь... Так-вот начил я разбираться с этим делом и нашёл всёго один подходящий мне АВ - Это ClamAV, да и-то нескажу что я очень им доволен, сразу видны недостатки, следующие: 1)Демон, ну очень-уж прожорлив, отъедает более 250 памяти на сервере, грузит проц., для VPS да и думаю и для дедика нетакое-уж камельфо...; 2)Что-бы демон работал как в винде, т.е. удалял вирусы как монитор на "Лету", нужно там извините с бубном потанцевать с настройками и установкой доп. ПО ! 3)Я решил проблему, тем-что через крон сделал запуск сканера командой, т.е. ночью автоматическая ежедневная проверка всех сайтов с новыми базами (Обновление баз тоже через планировщик). Ну-тут опять проблема - Это долгая проверка, вот 14-15 гигов, проверяет час, было-бы прикольно если-бы было сделано что-бы старые уже проверенные файлы не проверялись, как это сделано в винде у того-же каспера например, и таким образом длительность/ресурсоёмкость проверки снизилась-бы в разы... В общем вопрос, а кто какие АВ использует на серверах, да и вообще нужно-ли ?

Что-то рассуждения в "Одну калитку" получились, неужели не укого здесь нет никаких идей ? Самое интересное, что тему подхватили, много-где но не здесь, если исключить ресурсы где в основном говорили про "Линуксойд" и "Бу-га-га", вот на вепомском форуме вроде что-то немножко конструктивно сказали:http://forum.drweb.com/index.php?showtopic=321267 Но опять таки веп в данном случае мало подходит, т.к.: 1)Он ориентирован как понимаю на десктопы и почтовые сервера (Если не прав, давайте обсудим...); 2)Сомниваюсь что его демон, уж не такой тормозной, хотя не ставил не скажу, может позже поставлю гляну, что-там такое; 3)Чем он лучше ClamAV ? Вообще-бы не плохо может провести сравнительный анализ на реакцию на шеллы, на модификации и т.д. ? На вепе не зарегин, но хочу вести обсуждение именно здесь (Тут хоть бу-га-га никто не говорит, уже не плохо ! ) , на самом деле тема может показаться не серьёзной, но на самом деле взлому и заражению не редко подвергаются сайты даже офф. организаций и правительственные сайты и своевременное обнаружение такого ПО, как минимум может спасти от многих проблем... Не зря тот-же яндекс выпустил свой АВ:http://habrahabr.ru/company/yandex/blog/256463/ Но опять-таки это не-то: -Нет обновлений баз; -Проверяет на подозрительный код - Это хорошо, но опять таки может-быть ну-очень много ложных срабатываний на какие-то скрипты. На форуме вепа (В той теме), было предложение свои Yara-правила подключить, но это опять таки нужно разбираться что-бы не было ложных срабатываний, может уже есть готовые правила ?