Антивирус для сервера — класс защитного ПО, адаптированного к серверным ОС и нагрузкам. Отличается от десктопного антивируса отсутствием графического интерфейса, поддержкой серверных ролей (почтовый сервер, веб-сервер, файловый сервер) и ориентацией на минимальное влияние на производительность при постоянном фоновом сканировании.
Что угрожает серверу
Основные угрозы для серверов под управлением Linux:
- Web shell — PHP/Python-скрипт, загруженный через уязвимость CMS и дающий удалённое управление сервером
- Криптомайнер — malware, потребляющий CPU/GPU для добычи Monero; диагностируется по нагрузке на процессор
- Rootkit — скрытое ПО на уровне ядра; обнаруживается инструментами rkhunter и chkrootkit
- Ransomware — шифровальщик данных; на Linux-серверах встречается реже, но атаки на ESXi (VMware) с 2022 года участились
- Ботнет-агент — превращает сервер в участника DDoS-атак или рассылки спама
Решения для Linux-серверов
ClamAV — бесплатный open-source антивирус для Linux. Используется как сканер файловой системы (clamscan -r /var/www) и в связке с почтовыми серверами через Postfix + Amavis. База сигнатур обновляется через freshclam. Не имеет модуля реального времени из коробки — для этого нужен clamonacc или Dazuko.
Imunify360 — коммерческое решение для хостинг-провайдеров и виртуального хостинга. Интегрируется с cPanel/DirectAdmin, сканирует PHP-файлы в реальном времени, блокирует веб-шеллы и обнаруженный вредоносный код автоматически. Используется на большинстве shared-хостингов.
Maldet (Linux Malware Detect) — специализированный сканер веб-шеллов и PHP-малвари, использует сигнатуры ClamAV и собственную базу. Эффективен для виртуального хостинга и VPS с веб-сайтами.
История
Антивирусы для серверов появились в 1990-х вместе с коммерциализацией Unix-систем. ClamAV создан Томасом Кохом в 2002 году как open-source инструмент для фильтрации вирусов на почтовых серверах. С 2000-х годов коммерческие решения (Kaspersky Security для Linux Servers, ESET File Security) ориентировались на корпоративный сегмент. Рост доли Linux в серверном сегменте до 96% (по данным W3Techs, 2024) сделал тему серверного антивируса более актуальной.
На что обращать внимание
Для Linux-сервера антивирус — не первая линия защиты. Более критичны: регулярные обновления ядра и пакетов, правильная настройка межсетевого экрана, использование SSH-ключей вместо паролей и мониторинг целостности файлов через IDS. Антивирус сканирует уже загруженный вредоносный код — он не заменяет превентивные меры. На высоконагруженных серверах сканирование в реальном времени может снизить производительность дисковой подсистемы на 5–15%.
ClamAV: основной open-source антивирус для сервера
ClamAV — наиболее распространённый антивирус для Linux-серверов. Поддерживает сканирование файловой системы, почтовых вложений (интеграция с Postfix, Exim), HTTP-трафика (через Squid). База сигнатур обновляется через freshclam — обычно 3-4 раза в сутки. Количество сигнатур в базе — более 8 млн на 2024 год.
Daemon-режим (clamd) сканирует файлы через Unix-сокет без перезапуска движка, что значительно быстрее однократного вызова clamscan. Для хостинга интегрируется с cPanel (плагин CXS), Plesk (антивирусный модуль) и работает как standalone с cron-расписанием.
Коммерческие решения для серверов
Imunify360 (CloudLinux) — наиболее популярное коммерческое решение для Linux-хостинга. Объединяет антивирус, WAF, IDS/IPS, репутационный блок-лист IP и автоматическое лечение заражённых файлов. Стоимость — от $12/месяц на сервер. Поддерживает cPanel, Plesk, DirectAdmin, ISPmanager.
Kaspersky Endpoint Security для Linux — корпоративное решение с центральным управлением через Kaspersky Security Center. Подходит для compliance-требований (ФСБ-сертификация, ФСТЭК). Потребляет 150-300 МБ ОЗУ при фоновом сканировании.
На что обращать внимание
Антивирус на сервере создаёт нагрузку при полном сканировании файловой системы. Для VPS с 50+ ГБ данных полное сканирование ClamAV занимает 2-4 часа и грузит CPU на 30-50%. Рекомендуется планировать сканирование в ночные часы минимальной нагрузки. Real-time мониторинг (inotify-based) через fanotify даёт меньшую нагрузку, но требует ядро 5.1+.