Se è basato su Windows, come hai detto, lo farei. Vorrei anche provare a trovare una qualche forma di rilevamento delle intrusioni dell'host (un programma che controlla / controlla i file che stanno cambiando sul server e avvisa l'utente delle modifiche).
Solo perché non stai modificando i file sul server non significa che non vi sia un buffer overflow o vulnerabilità che consentirà a qualcun altro di modificare i file sul server in remoto.
Quando c'è una vulnerabilità, il fatto che esista un exploit è di solito noto in un intervallo di tempo tra individuazione e correzione distribuite, quindi c'è un intervallo di tempo fino a quando non si ottiene la correzione e la si applica. In quel periodo di solito c'è una qualche forma di exploit automatizzato disponibile e gli script kiddie lo eseguono per espandere le loro reti di bot.
Si noti che ciò influisce anche sugli AV dal momento che: nuovo malware creato, malware distribuito, campione va alla tua azienda AV, analisi della società AV, società AV rilascia una nuova firma, aggiorni la firma, sei presumibilmente "sicuro", ripeti il ciclo. C'è ancora una finestra in cui si sta diffondendo automaticamente prima che tu sia "innocolato".
Idealmente potresti semplicemente eseguire qualcosa che controlla le modifiche ai file e ti avvisa, come TripWire o funzionalità simili, e mantenere i registri su un altro computer che è un po 'isolato dall'uso, quindi se il sistema è compromesso i registri non vengono modificati. Il problema è che una volta che il file è stato rilevato come nuovo o modificato, sei già infetto e una volta infettato o un intruso è troppo tardi per credere che la macchina non abbia subito altre modifiche. Se qualcuno ha violato il sistema, avrebbe potuto alterare altri file binari.
Quindi diventa una questione di fiducia dei checksum e dei registri delle intrusioni host e delle tue capacità di aver ripulito tutto, inclusi rootkit e file di flussi di dati alternativi eventualmente presenti? Oppure fai le "migliori pratiche" e cancelli e ripristini dal backup, poiché i registri delle intrusioni dovrebbero almeno dirti quando è successo?
Qualsiasi sistema connesso a Internet che esegue un servizio può essere sfruttato potenzialmente. Se hai un sistema connesso a Internet ma in realtà non è in esecuzione con alcun servizio, direi che molto probabilmente sei al sicuro. I server Web non rientrano in questa categoria :-)