[SOLUCIONADO] Antivirus, detección de Shells, etc

Buenos días,

Me gustaría saber que tenéis vosotros para la detencción de virus y de shells entre otras cosas para tener el servidor protegido.

yo uso clanav, que no esta mal, pero seguro que existe algo mejor

Bueno, primero que nada (y aunque a lo mejor suena ya muy trillado) la mejor herramienta es la prevención y el uso del sentido común...     
Luego,  cuando lo anterior falla, es una muy buena idea tener instalado y correctamente configurado un IDS (snort suele ser una buena elección) principalmente porque la mayoría de troyanos y shells (tanto reverse como bind) tienen que establecer conexiones a servidores remotos para que el atacante pueda controlar dicha shell y enviar comandos, es ahí donde cobra sentido tener un IDS... pero claro, nuevamente, hay que tener sentido común para esto también, ya que de nada sirve instalar snort si no hay un admin competente y lo suficientemente diligente que se preste atención a las alarmas generadas.
También viene bien tener correctamente configurado un firewall (si utilizas Linux, te bastará con controlar iptables) y adicionalmente, fan2ban para evitar las molestias de "hackers" que ejecutan ataques de fuerza bruta.
Eso a "grosso modo", luego dependiendo de como tengas montado tu servidor, tienes otras herramientas y módulos específicos para aplicaciones concretas (apache, ftp, ssh, etc.....)

Sentido común no sirve cuando eres proveedor de Alojamiento web, y la mayoría de los clientes son empresas que tienen webs muy muy vulnerables.

Actualmente en los servidores que tenemos, nos avisa ya los sysadmin de estas cosas, dado que dinahosting al tener el panel propio no te da acceso al servidor. Pero estamos cogiendo algún que otro servidor sin administrar para clientes específicos y nos gustaría tenerlos bastante seguros.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Sentido común no sirve cuando eres proveedor de Alojamiento web, y la mayoría de los clientes son empresas que tienen webs muy muy vulnerables.

Actualmente en los servidores que tenemos, nos avisa ya los sysadmin de estas cosas, dado que dinahosting al tener el panel propio no te da acceso al servidor. Pero estamos cogiendo algún que otro servidor sin administrar para clientes específicos y nos gustaría tenerlos bastante seguros.

Lo siento, pero no estoy de acuerdo, en esos casos con mayor razón se necesita "sentido común" y ser muy metódico, principalmente porque de antemano sabemos que es muy probable que un atacante pueda acceder al servidor utilizando una aplicación vulnerable. Los sysadmin no van a poder lidiar con todos los errores de programación y las vulnerabilidades que dichos errores pueden acarrear, sin embargo, teniendo eso en mente, si que es responsabilidad del sysadmin "enjaular" cualquier tipo de acción maliciosa limitando al máximo su posible impacto, para eso existen los entornos chrooted.
Que un atacante pueda acceder al servidor, vale... pero que no pueda hacer absolutamente nada con los privilegios que tenga asignados el proceso del servidor web, que sea fácilmente identificable utilizando herramientas como las que mencionaba anteriormente y que el sysadmin reaccione de manera rápida ante dichos eventos, eso a mi juicio es usar el sentido común.

creo que nos estamos cambiando de tema.

tu has dicho

la mejor herramienta es la prevención y el uso del sentido común

como has dicho, sería interesante que el usuario no tenga permisos aunque entre, pero que pueda o no entrar ya no es cosa de sentido común.

Claramente, para evitar daños, se tiene que pensar y usar unos protocolos para estos casos. Nosotros siempre que alguien sube una shell o algo en alguno de nuestros servidores, analizamos todo el servidor y vemos como y porque lo hizo, claramente le damos un aviso al cliente de que tienen una falla en su web y que la tienen que arreglar.

a mi me intereso un punto del que has hablado.

Citar. Los sysadmin no van a poder lidiar con todos los errores de programación

es que eso es lo que me interesa, que no intente hacer las webs seguras, simplemente que si entran, no tengan nada que hacer y la detención lo mas rápido posible.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
como has dicho, sería interesante que el usuario no tenga permisos aunque entre, pero que pueda o no entrar ya no es cosa de sentido común.

Que un usuario pueda entrar legitimo pueda entrar, creo que se da por hecho, sin embargo si que es de sentido común establecer políticas de acceso robustas, como forzarle a cambiar su contraseña cada X tiempo o utilizar mecanismos más seguros de acceso (como por ejemplo uso de autenticación por clave pública) entre otras cosas. Desde mi punto de vista, eso si que es de sentido común (por parte de los sysadmin, obviamente).

Citar
es que eso es lo que me interesa, que no intente hacer las webs seguras, simplemente que si entran, no tengan nada que hacer y la detención lo mas rápido posible.

Correcto, ese siempre va a ser el objetivo y para ello es necesario tener controles lo suficientemente robustos, así como sysadmins competentes.