Um sistema operacional não é "estável e seguro". Uma infraestrutura bem configurada e bem administrada pode ser mais segura do que uma que não seja, mas a segurança não é booleana. Você não pode "comprar segurança" ou "instalar segurança" usando um determinado produto / tecnologia.
Você não é um "especialista em Linux", portanto, faz sentido que você precise contratar / contratar alguém que possa configurar bem seus servidores, do ponto de vista da segurança. Não é algo que você pode fazer e "ser feito". Patches estão sendo lançados o tempo todo para vulnerabilidades e bugs recém-descobertos. Se você não tiver um funcionário encarregado de acompanhá-lo, realmente precisará considerar a inscrição em algum tipo de serviço "gerenciado" para manter seus computadores servidores. Essa é uma preocupação constante e precisa ser incluída no orçamento / TCO do sistema como um todo.
Existem "monitores hackers", até certo ponto. Sistemas de detecção de intrusão (IDS), sistemas de prevenção de intrusão (IPS), etc, preenchem esse nicho. É uma corrida armamentista, no entanto. Você não pode simplesmente comprar um produto IDS / IPS de prateleira, pagar alguém para colocá-lo, depois sentar e se sentir seguro. Assim como manter o software do sistema operacional e o software aplicativo corrigidos, a infra-estrutura do "monitor de hackers" também deve ser atualizada.
Você precisa falar com um advogado. Você pode ter clientes localizados em lugares onde você é obrigado a divulgar tais ocorrências por lei. Mesmo que você não seja, com certeza me parece inseguro não permitir que seus clientes saibam se seus dados foram colocados em risco. Há o dano ao "seu bom nome" agora ao divulgar o hack, mas há uma multiplicidade desse dano se for revelado mais tarde que você tentou encobri-lo - especialmente se você infringir a lei ao fazê-lo.
Material prático:
Suas máquinas invadidas são lixo. Eles precisam ser recarregados a partir de um backup em bom estado ou, melhor ainda, recarregados de binários limpos do SO e redigitados com dados. Isso é como "limpeza de malware", exceto pior, porque é muito mais provável que seu adversário seja um ser pensante em vez de um software estúpido (embora você possa ter sido hackeado por um "bot"). A chance de que haja "portas dos fundos" em seus servidores é real.
Os dados nos computadores servidores devem ser considerados como tendo sido divulgados ao público. Mesmo que não seja agora, poderia ser.
Quaisquer credenciais para outros computadores armazenados nos computadores invadidos são públicas. Comece a colocar essas senhas em outros computadores alterados AGORA e verifique se os outros computadores estão intactos. (Alguém mais usa o Tripwire? Isso certamente seria legal nesta ocasião ...)
Você tem uma bagunça. Lide bem com isso e você sairá melhor. Lide mal com isso e, da próxima vez, talvez você não tenha uma empresa.
No futuro, você deve usar autenticação strong e protocolos de gerenciamento criptografados (SSH, autenticação baseada em chave pública). Eu já sugeri que você obtenha um "especialista em Linux", mesmo que seja apenas em contrato, para você começar a seguir o caminho certo. Eu não posso encorajar isso o suficiente. Você poderá ver, com essa violação, como isso teria sido "pago por si".
Todas as coisas comuns se aplicam:
- Não execute serviços desnecessários.
- Desativar credenciais padrão.
- Siga o princípio do menor privilégio.
- Testou backups off-site e off-site.
- Saiba quais são os requisitos legais para: divulgar a violação.
- Mantenha seus sistemas / aplicativos atualizados.