D
DerMitSkill
Guest
Hallöchen..
Ich hab mir da mal Gedanken gemacht, wie man 'nen Server überwachen kann, um festzustellen, ob er infiziert wurde.
Das Ergebnis:
Nachdem der Server fertig eingerichtet und noch sauber ist, werden von allen Dateien (außer Logs und Cache-Dateien) eine Prüfsumme erstellt und gespeichert. Ein externen Server verbindet sich einmal pro Tag per SSH auf den Server und prüft, ob sich die Prüfsummen verändert haben. Wenn ja, wird der Serveradministrator benachrichtigt. Ändert man selbst etwas am Server, werden die entsprechenden Dateien mit neuen Prüfsummen versehen, weshalb es in dem Fall nicht zu einem Fehlalarm kommt.
Das ganze kommt mir recht einfach vor. Wo ist der Haken? Wo ist mein Denkfehler? Gibt's sowas schon fertig?
Grüße
Ich hab mir da mal Gedanken gemacht, wie man 'nen Server überwachen kann, um festzustellen, ob er infiziert wurde.
Das Ergebnis:
Nachdem der Server fertig eingerichtet und noch sauber ist, werden von allen Dateien (außer Logs und Cache-Dateien) eine Prüfsumme erstellt und gespeichert. Ein externen Server verbindet sich einmal pro Tag per SSH auf den Server und prüft, ob sich die Prüfsummen verändert haben. Wenn ja, wird der Serveradministrator benachrichtigt. Ändert man selbst etwas am Server, werden die entsprechenden Dateien mit neuen Prüfsummen versehen, weshalb es in dem Fall nicht zu einem Fehlalarm kommt.
Das ganze kommt mir recht einfach vor. Wo ist der Haken? Wo ist mein Denkfehler? Gibt's sowas schon fertig?
Grüße