Я знаю, что это может звучать как вопрос типа новичка, но я хочу знать, есть ли какие-либо программы / методы, которые сканируют ботнеты, размещенные на сервере.
Я управляю небольшой хостинг-компанией и продаю kvm vpses. Я просто ненавижу, когда центр обработки данных должен уведомить нас о проблеме, и предпочел бы найти и удалить ботнет до того, как центр обработки данных должен сообщить нам об этом.
Это действительно сложная проблема, которая постоянно развивается. Один из лучших способов найти этот трафик - запустить какой-нибудь идентификаторы system в исходящем трафике, чтобы определить, какие системы могут делать подозрительные действия. Это позволит вам проактивно реагировать. Требуется много навыков, чтобы настроить их так, чтобы они давали релевантные результаты, но это можно сделать; хотя это очень похоже на удар крота.
Если у вас нет доступа к вашему внешнему каналу трафика, кроме систем, которые их генерируют, существуют сторонние продукты для сканирования систем и трафика на предмет подозрительной активности. У некоторых крупных поставщиков антивирусных программ есть системы, которые могут сканировать даже системы Linux на предмет подобных вещей. По большей части он основан на сигнатурах, так что это будут известные угрозы, но это лучше, чем ничего.