Para determinar qué software se ha instalado, puede revisar /var/log/dpkg.log.
Sin embargo, esto puede no ser un registro completo. Puede haber binarios y código que se compiló manualmente o se copió directamente al sistema precompilado. Usted podría comparar una instalación por defecto de la misma versión de Ubuntu y el tipo de servidor (s) y el aspecto de qué archivos son diferentes, pero que puede ser tedioso tranquila. Una solución de monitor de archivos sería ideal (tripewire, inotifywatch, etc.)
http://linuxcommando.blogspot.com/2008/08/how-to-show-apt-log-history.html
Debe verificar TODO en el servidor. Cada cuenta de usuario en / etc / passwd , cada cuenta de usuario de la aplicación (como usuarios en Apache / PHP, cuentas de bases de datos, etc.) deben tenerse en cuenta, y debe cambiar todas las contraseñas. Debe verificar qué servicios se inician en el arranque, cuál es el nivel de ejecución predeterminado y qué comienza con él y con otros niveles de ejecución. Usaría un escáner de vulnerabilidades y una herramienta de configuración de línea de base para auditar el estado actual. El Centro de Seguridad de Internet ofrece una herramienta de evaluación de configuración gratuita, pero puede ser limitada. Tienen herramientas más avanzadas para organizaciones miembro ($).
http://benchmarks.cisecurity.org/
OpenVAS es un escáner FOSS, similar a Nessus, que puede tener capacidades similares. Hay muchas, muchas más cosas para verificar, pero esta respuesta ya se está haciendo un poco larga ... (La revisión de código para aplicaciones web y páginas web es un buen ejemplo).
Puede ver una revisión del estado de los puertos disponibles para las conexiones a los servidores con una variedad de indicadores para netstat .
http://www.thegeekstuff.com/2010/03/netstat-command-examples/
Para identificar quién se ha conectado al servidor, tendrá que recurrir a las actividades más sexys de Internet Security, revisando los registros del sistema. La información puede estar en cualquiera de una cantidad de registros dependiendo de qué aplicaciones y servidores estén en el sistema. También puede tener suerte con los registros de red externos, si existen.
Tienes mucho seguimiento que hacer. Usted indicó que el administrador anterior fue despedido ; Si sospecha que esa persona ha tenido intenciones maliciosas (es decir, pueden haber dejado puertas traseras, trampas para bobos, bombas lógicas, etc.) es casi seguro que será mejor reconstruir los servidores a partir de medios limpios y volver a implementar las aplicaciones web en ellos. Si este administrador anterior tenía acceso y control total a esos sistemas y no fue sometido a una auditoría y supervisión diligentes, probablemente debería suponer que hay puertas traseras.
Esto se basa en una suposición pesimista sobre el administrador anterior. Desafortunadamente, esa es la forma en que la cookie se desmorona para la seguridad operativa de la red. Hay mucho más que considerar, como dije ... mucho más de lo que se puede cubrir aquí. Estos puntos deberían darle algunas cosas para comenzar a hacer para que pueda informar a la gerencia que está progresando; pero para ser brutalmente honesto, si no eres un profesional de la seguridad y tienes motivos para sospechar que esta persona actuó con malicia, probablemente estés por encima de tu cabeza.
Es una respuesta impopular con la administración porque requiere mucho esfuerzo (lo que significa más $), pero la respuesta general de seguridad es cuando tenga dudas, limpie y reconstruya desde fuentes limpias . Así es como funcionan los sistemas gubernamentales más importantes con malware; Si surge una alerta de AV, el sistema se segrega, borra y reconstruye. Espero que hayas hecho una copia de seguridad porque esos datos se han ido .
Buena suerte, y espero que haya sido útil y no solo deprimente.