Как я могу обнаружить нежелательные проникновения на своих серверах?
Мы раньше использовали RAdmin (http://www.radmin.com/) - это был (несколько лет назад) путь быстрее, чем что-либо еще на рынке. Могло быть это, все еще...
Это частично зависит от того, на какой системе Вы работаете. Я обрисую в общих чертах некоторые предложения для Linux, потому что я более знаком с ним. Большинство из них относится к Windows также, но я не знаю инструменты...
Используйте IDS
SNORT® является сетевой системой предотвращения вторжения и обнаружения с открытым исходным кодом, использующей управляемый правилом язык, который комбинирует преимущества подписи, протокола и основанных на аномалии инспекционных методов. С миллионами загрузок до настоящего времени, Фырканье является наиболее широко развернутой технологией обнаружения проникновения и предотвращения во всем мире и стало фактическим стандартом для промышленности.
Фырканье читает сетевой трафик и может искать вещи как "диск перьевым тестированием", куда кто-то просто выполняет все сканирование metasploit против Ваших серверов. Хороший для знания подобных вещей, по-моему.
Используйте журналы...
В зависимости от Вашего использования можно настроить его так, Вы знаете каждый раз, когда пользователь входит в систему или входит в систему от нечетного IP, или каждый раз, когда корень входит в систему, или каждый раз, когда кто-то пытается войти в систему. У меня на самом деле есть сервер, посылают мне по электронной почте каждое сообщение журнала выше, чем Отладка. Да, даже Уведомление. Я фильтрую некоторых из них, конечно, но каждое утро когда я получаю 10 электронных писем о материале, он заставляет меня хотеть зафиксировать его так, он прекращает происходить.
Контролируйте свою конфигурацию - я на самом деле сохраняю свой весь / и т.д. в подверсии, таким образом, я могу отследить изменения.
Выполненные сканирования. Инструменты как Lynis и Rootkit Hunter могут дать, Вы предупреждаете к возможным дырам в системе безопасности в Ваших приложениях. Существуют программы, которые поддерживают хэш-дерево или хэш-дерево всех Ваших мусорных ведер и могут предупредить Вас к изменениям.
Контролируйте свой сервер - Точно так же, как Вы упомянули дисковое пространство - графики могут дать Вам подсказку, если что-то необычно. Я использую Кактусы для слежения за ЦП, сетевым трафиком, дисковым пространством, температурами, и т.д. Если что-то выглядит нечетным, это нечетно, и необходимо узнать, почему это нечетно.
Автоматизируйте все, что можно... смотреть на проекты как установка Клиента/сервера http://www.ossec.net/ OSSEC... действительно легкая установка и настройка не плохи также. Простой способ сказать, было ли что-то изменено включая ключи реестра. Даже в небольшом магазине я посмотрел бы на установку сервера системного журнала, таким образом, можно переварить всех Вас, входит в систему одно место. http://syslogserver.com/syslogagent.html агента системного журнала выезда, если Вы только надеетесь отправлять свои журналы окон на сервер системного журнала для анализа.