Como posso detectar invasões indesejadas nos meus servidores?

Como os outros administradores estão monitorando seus servidores para detectar acesso não autorizado e / ou tentativas de hackers? Em uma organização maior, é mais fácil jogar as pessoas no problema, mas em uma loja menor, como você pode monitorar efetivamente seus servidores?

Costumo verificar os logs do servidor procurando algo que salte para mim, mas é realmente fácil perder as coisas. Em um caso, fomos informados por pouco espaço no disco rígido: nosso servidor foi tomado como um site FTP - eles fizeram um ótimo trabalho ocultando os arquivos, mexendo na tabela FAT. A menos que você soubesse o nome específico da pasta, ela não apareceria no Explorer, no DOS ou na pesquisa de arquivos.

Que outras técnicas e / ou ferramentas as pessoas estão usando?

Depende parcialmente do tipo de sistema em que você está executando. Vou esboçar algumas sugestões para o Linux, porque estou mais familiarizado com ele. A maioria deles também se aplica ao Windows, mas eu não conheço as ferramentas ...

• Use um IDS

  O SNORT® é um sistema de prevenção e detecção de intrusões de rede de código aberto que utiliza uma linguagem orientada por regras, que combina os benefícios dos métodos de inspeção baseados em assinaturas, protocolos e anomalias. Com milhões de downloads até o momento, o Snort é a tecnologia de detecção e prevenção de intrusões mais amplamente implementada em todo o mundo e se tornou o padrão de fato para o setor.

  O Snort lê o tráfego da rede e pode procurar coisas como "teste de unidade por caneta", onde alguém apenas executa uma verificação completa de metasploit nos seus servidores. É bom saber esse tipo de coisa, na minha opinião.

• Use os logs ...

  Dependendo do seu uso, você pode configurá-lo para que você saiba sempre que um usuário efetuar logon ou logon de um IP ímpar, ou sempre que o root efetuar logon ou sempre que alguém tentar efetuar login. Na verdade, tenho o servidor por e-mail todas as mensagens de log maiores que Debug. Sim, mesmo aviso. Eu filtro alguns deles, é claro, mas todas as manhãs quando recebo 10 e-mails sobre coisas, me faz querer corrigi-lo para que isso pare de acontecer.

• Monitore sua configuração - eu realmente mantenho meu / etc inteiro no subversion para que eu possa acompanhar as revisões.

• Execute verificações. Ferramentas como Lynis e Rootkit Hunter podem fornecer alertas sobre possíveis falhas de segurança em seus aplicativos. Existem programas que mantêm um hash ou árvore de hash de todos os seus compartimentos e podem alertá-lo sobre alterações.

• Monitore seu servidor - assim como você mencionou o espaço em disco - os gráficos podem dar uma dica se algo for incomum. Eu uso o Cacti para ficar de olho na CPU, tráfego de rede, espaço em disco, temperaturas etc. Se algo parece estranho, é estranho e você deve descobrir por que é estranho.

Automatize tudo o que puder ... veja projetos como o OSSEC http://www.ossec.net/ Instalação de cliente / servidor ... configuração realmente fácil e o ajuste também não é ruim. Maneira fácil de saber se algo foi alterado, incluindo entradas do registro. Mesmo em uma pequena loja, eu gostaria de configurar um servidor syslog para que você possa digerir todos os logs em um só lugar. Confira o agente syslog http://syslogserver.com/syslogagent.html se você deseja enviar apenas os logs do Windows para um servidor syslog para análise.

No Linux, eu uso o logcheck para relatar regularmente entradas suspeitas nos meus arquivos de log. Também é muito útil para detectar eventos inesperados não relacionados à segurança.