Un servidor web debería estar protegido por un un buen WAF (Web Application Firewall) y en el caso de tecnologías Forefront, la mejor solución sería Forefront UAG 2010 o Forefront TMG 2010 con Web Protection Service y Bridging HTTPS más HTTP-s Inspection activada. Sin embargo, nos encontramos muchos servidores web que no tienen un filtrado antimalware en la conexión, lo que es un problema serio de seguridad. Hay que tener en cuenta que un atacante podría intentar colar un malware en el servidor por medio de una vulnerabilidad descubierta en alguna aplicación web, o lo que es peor, subir una Web Shell y controlar el servidor.

Hoy en día, los WAF se deben acompañar con un buen motor de inspección antimalware que detecten esos casos. Lo curioso es que no pensé que mi Microsoft Security Essentials fuera a detectar una WebShell en mi máquina local, y no cree una excepción especial de escaneo para la carpeta donde estaba guardando unas webshells que quiero usar en un artículo. Así, sin darme cuenta, Microsoft Security Essentials las detectó y me las bloqueo.


Figura 1: Webshell 1 detectada


Figura 2: Webshell 2 detectada

Yo no tengo un servidor web en mi máquina, y por tanto son más que inofensivas en mi equipo, pero Microsoft Security Essentials detectó sus firmas. Como MSE comparte las firmas con Forefront EndPoint Protection 2010, si tienes un servidor web, y no tienes un WAF que controle la subida y bajada de malware por HTTP/HTTPs, deberías poner configurar el agente de FEP2010 para que le eche un ojo a las aplicaciones web que tienes publicadas.