Preverjanje obstoja/aktivnosti crypto virusa

Ima kdo kak primer dobre prakse s preverjanjem ali je na linux strežniku potekala kaka aktivnost crypto virusa oz. če ta še poteka?
Zanima me kako bi tako reč čim prej avtomatsko odkril s periodičnim preverjanjem?

Recimo, da na linux strežniku teče samba, web server, mail server in podobne reči (vse virtualizirano, izolirano). Ker je to domača zadeva, ni stvar redne rabe vseh servisov. Torej povsem lahko se zgodi, da prepozno odkrijem, da mi je vsebino mape, ki jo servira samba, nekaj zakriptiralo. Delam snapshote, a če prepozno odkrijem zadevo, bo rotacija le-teh že mimo.

Sem razmišljal, da bi nastavil neko namensko docx datoteko in preverjal njen hash. Podobno bi lahko potem storil tudi v mapah web servisa in podobno na različnih lokacijah, ki so izpostavljene tveganju.

Ideje/komentarji/izkušnje?

secops je 20. jul 2021 ob 22:17 izjavil:

Postavi si nek monitoring sistem (Zabbix, Nagios) in spremljaj iopse na strežniku, poleg tega lahko tudi ja hash vrednosti določenih datotek.

Imam zabbix vzpostavljen. Bi načeloma šlo, kot sem napisal.
Odprl sem temo, da vidim, če ima kdo drug kak pametnejši/boljši ("Next-Gen") pristop.

Bom še malo počakal, če se še kak junak najde. Ideja bi bila tudi, če bi gnal tripwire, ampak mi je ta reč povsem preveč glomazna za upravljat.