¿Cómo supervisan otros administradores sus servidores para detectar cualquier acceso no autorizado y / o intentos de piratería? En una organización más grande es más fácil atraer a la gente al problema, pero en una tienda más pequeña, ¿cómo puede monitorear efectivamente sus servidores?
Tiendo a escanear a través de los registros del servidor en busca de cualquier cosa que me salte a la vista, pero es muy fácil perder cosas. En un caso, nos avisó que había poco espacio en el disco duro: nuestro servidor fue tomado como un sitio FTP; hicieron un gran trabajo al ocultar los archivos jugando con la tabla FAT. A menos que conozca el nombre específico de la carpeta, no se mostrará en el Explorador, desde DOS o al buscar archivos.
¿Qué otras técnicas y / o herramientas están usando las personas?
Automatice todo lo que pueda ... eche un vistazo a proyectos como OSSEC http://www.ossec.net/ Instalación de cliente / servidor ... configuración realmente fácil y el ajuste tampoco es malo. Una manera fácil de saber si algo ha cambiado, incluidas las entradas del registro. Incluso en una tienda pequeña, me gustaría configurar un servidor syslog para que pueda digerir todos sus registros en un solo lugar. Visite el agente de syslog http://syslogserver.com/syslogagent.html si solo está buscando enviar sus registros de Windows a un servidor de Syslog para su análisis.
fuente
En Linux, uso logcheck para informar regularmente entradas sospechosas en mis archivos de registro. También es muy útil para detectar eventos inesperados no relacionados con la seguridad.
fuente