1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

Seguridad ¿Cómo averiguar si están robando datos de un servidor Debian?

Tema en 'Asuntos Técnicos' iniciado por MariannO, 24 Ene 2018.

  1. MariannO

    MariannO Nuevo usuario

    Hola comunidad!

    Les cuento que si bien tengo algunos conocimientos de Linux, muchas veces me he preguntado como se puede averiguar si alguien que se conecta al servidor está robando datos o información de algún tipo.

    Estuve buscando sobre la auditoria de samba, éste registra un log de los usuarios que hacen tal y cual modificación de determinados archivos o carpetas, pero se haría una tarea engorrosa si hubiese muchos usuarios o si el dueño modificara muchos archivos. Acá es donde me pregunto:

    ¿Cómo hacen saber las empresas que el servidor donde se conectan miles/millones de usuarios ha sido vulnerado y lo que le han robado específicamente (base de datos, archivos de una determinada carpeta, etc)?

    Me gustaría que alguien me aclare esta duda y si pueden recomendarme materiales para aprender más sobre esto, se lo agradecería. No hace falta que me pasen el link, con decirme el título o el nombre, yo lo busco.

    Gracias por todo.
     
  2.  
  3. egrueda

    egrueda Usuario activo

    Ahora sabes por qué los hackeos más grandes en ocasiones pasan desapercibidos durante semanas o meses (y habrá otros tantos que ni siquiera se hayan dado cuenta)
    No se puede dar una respuesta general a un problema tan específico y variado.
    El acceso a un dato concreto viene determinado por su ubicación, la forma(s) de acceso, el método de autenticación y los usuarios con provilegios. Por debajo de eso aun puede haber mil detalles, como el origen del acceso, la fecha y hora, el día de la semana, etc.
    Puedes tener cientos de programas de auditoría para detectar ficheros modificados, accesos al servidor, etc, pero aun tienes que resolver dos problemas:
    - no puedes monitorizar en tiempo real el acceso a cada archivo o a cada base de datos, es desmasiado costoso en cuanto a recursos
    - la mayoría de las veces no puedes diferenciar un acceso legítimo de uno que no lo es

    Como ves, el problema es bastante extenso, y hay miles de herramientas para permitir y auditar una serie de eventos, pero por lo general, una auditoría sólo te muestra el problema después de que haya pasado, como es lógico.

    Como te decía, encontrarás muchos "linux security audit tools", y te podrán servir más o menos, o necesitarás varios para detectar varios puntos distintos. Tendrás que probar varios hasta que des con lo que buscas.
     
    A MariannO le gusta esto.
  4. jmginer

    jmginer Usuario activo

    Un backdoor puede hacerse en unas pocas lineas de código, y si te lo programas tu casi seguro que ningún "detector" lo va a considerar como malware pues no existe en ninguna base de datos. Basta con incluirlo entre toda la maraña de ficheros de un wordpress o un prestashop y ala, servidor infectado de por vida y practicamente indetectable (viva los servidores sin CageFS)... La solución pasaría por re-instalar dicho wordpress desde 0 para asegurarse que ese fichero (que no sabes cual es) no se transfiere, y eso, en el mejor de los casos sabiendo cual es el dominio que tiene el backdoor. Suerte!!!
     
  5. MariannO

    MariannO Nuevo usuario

    Sin dudas es muy interesante el tema. La pregunta sería ¿Cómo darse cuenta que el archivo ha sido infectado por backdoor?

    Una de las formas sería descargar todos los archivos del servidor y comprobar el algoritmo sha256 de todos los archivos, y compararlos con los de la instalación u otros backups anteriores que sospechamos que no presentaban problemas. El problema es que esto sería una tarea que sobrecarga el uso de recursos del servidor, demasiado engorroso.
     
  6. copernico.es

    copernico.es Usuario activo

    Entiendo por lo que he leido, que todos parten de la base en la que auditar un servidor en tiempo real es posible. Veo que conocéis que existen herramientas específicas en cada caso, que comparan en tiempo real los archivos ya establecidos con los que se intentan subir o se han subido por cualquier método. A partir de esto, no hay tarea engorrosa en tiempo o cargas para el servidor que sea más importante que la seguridaad del mismo.
     


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


      
      
      
      
      
Sitios amigos: GuiaHosting · Unidominios · Interalta ·