¿Cómo averiguan si en un servidor basado en Linux están robando datos?

[Morganizado]

Hola Hacketones!

Muchas veces me he preguntado como es posible averiguar si alguien que se conecta al servidor está robando datos o información de algún tipo.

Estuve viendo sobre la auditoria Samba y he observado que registra un log bastante detallado de lo que hace el usuario, el tema es que se haría una tarea demasiado engorrosa si hubiese muchos usuarios o si el dueño modificara muchos archivos en el día. Por esto me pregunto:

1 - ¿Las empresas que tienen servidores donde se conectan miles/millones de usuarios, como hacen saber si han sido vulnerados y la información que le han robado (base de datos, archivos de determinadas carpetas, etc)?

Me gustaría que me aclaren esta duda y que me recomienden materiales para aprender más sobre el tema; se los agradecería. No hace falta que me pasen el link, con decirme el título o el nombre, yo lo busco.

Por otro lado pregunto:

2 - ¿A qué aplicación auditan los servidores para descubrir si han realizado determinadas acciones sobre un archivo o carpeta si no tienen instalado samba? ¿FTP? se puede?

Gracias!!!

PD: Por si me pueden recomendar algún software, yo estoy usando Debian.

[engel lex]

¿Las empresas que tienen servidores donde se conectan miles/millones de usuarios, como hacen saber si han sido vulnerados y la información que le han robado (base de datos, archivos de determinadas carpetas, etc)?

donde se conectan millones de usuarios no hay carpetas , en estos casos es muy dificil detectar una filtración, usualmente lo que detectas es directamente comportamiento anormal del sql, o excesos de datos transferidos... hoy en dia incluso se apoyan en IA para eso, porque no hay formas simples de saber

[EFEX]

Pueden poner un IDS a la escucha de todo el trafico que pase por la red, samba, ftp, http, etc. y segun las reglas que tenga el IDS le avisara al administrador.

Busca sobre IDS, File auditing.

[Morganizado]

donde se conectan millones de usuarios no hay carpetas , en estos casos es muy dificil detectar una filtración, usualmente lo que detectas es directamente comportamiento anormal del sql, o excesos de datos transferidos... hoy en dia incluso se apoyan en IA para eso, porque no hay formas simples de saber

Claro, imaginaba que es muy difícil detectar la filtración, pero sospechaba que podría haber alguna técnica que haga el trabajo más fácil. Estoy interesado en ello porque quiero empezar a probar cuando tenga terminado de configurar mi servidor.

Por otro lado, discrepo en tu opinión sobre las carpetas. Cuando nos conectamos por FTP a un servidor a menudo es para transferir algún archivo o carpeta. A eso hago referencia. ¿Cómo detectan si esos archivos o carpetas no fueron robados o accedidos por intrusos? Convengamos que configurar reglas para los miles y miles de cuentas sería una tarea en la que se debería ser un superhumano  , por eso más que nada planteo esta pregunta.

[Morganizado]

Pueden poner un IDS a la escucha de todo el trafico que pase por la red, samba, ftp, http, etc. y segun las reglas que tenga el IDS le avisara al administrador.

Busca sobre IDS, File auditing.

Muchísimas gracias por este dato. No sabía sobre lo que me acabas de recomendar y estuve investigando sobre el tema. Para los que estén interesados, he encontrado un blog con una guía muy interesante que explica paso a paso sobre esto:

https://seguridadyredes.wordpress.com/2007/12/28/sistemas-de-deteccion-de-intrusos-y-snort-i/

Si entran, revisen el índice que está dividido en varios capítulos.

[engel lex]

Usualmente ftp hoy día no se usa es algo muy de los 90, no es estable, ni seguro, tampoco se apega a estándar de consumo moderno, incluso si vez muchos irl que empiezan "ftp." Algo en realidad son más nombre que nada, si empiezan por http, son descargas web comunes, por ejemplo los repos de Linux