Dê uma olhada em um sistema IDS, pessoalmente eu uso o link da OSSEC.
Ele enviará um e-mail quando uma regra for acionada. Por padrão, ela é um pouco spam, mas pode ser configurada. Por exemplo, você receberá um email quando:
- Login de usuário pela primeira vez via SSH
- Primeira vez que um usuário executa o sudo
- Failed sudo / su conversões
- Quando a soma de verificação de um arquivo em / etc / (ou qualquer diretório configurado) é alterada.
E muito mais, procura rootkits e pode ser configurado para responder automaticamente às ameaças.
Em termos de como você deve reagir, isso é mais uma questão de lógica de negócios. Pergunte a si mesmo
- Quão crítico é esse sistema? Pode ser desligado por um tempo indeterminado sem problemas?
- Você tem backups? (E você pode confiar que esses backups também não serão quebrados?)
Se você puder tirar a caixa, retire-a. faça um backup completo do disco , você precisa informar como eles entraram, usar algo como o kit Sleuth. Você deve montar o disco para fazer testes, não confiar nas ferramentas do sistema que foram comprometidas, você não pode confiar que os binários são realmente o que você pensa que eles são. Além disso, se você for capaz de determinar que um usuário ganhou acesso root, tudo nessa caixa se foi, você não pode confiar nos logs, timestamps, binários, nada. É aqui que algo como o rsyslog pode ajudar.
Se você tivesse dados de clientes que foram comprometidos, é necessário seguir o plano de negócios para saber como isso deve ser feito.