Qualsiasi buon amministratore di sistema saprà quali file si trovano sul server della sua azienda e quali sono in quei file.
La prima cosa che vuoi fare è usare un programma o scrivere uno script per prendere nota di tutti i file sul disco rigido. Il modo più sicuro per farlo sarebbe quello di montare il disco rigido su un sistema operativo funzionante noto in modo che il sistema operativo non nasconda alcun file da te. Prendi nota di ciò e tienilo in un posto sicuro.
La prossima cosa che fai è creare un checksum per ciascuno di quei file elencati e tenerlo in un posto sicuro.
Questo processo andrà bene con i backup del tuo server perché saprai da dove eseguire il ripristino.
Ogni volta che sospetti e ti intrighi, controllerai per vedere quali file sono stati aggiunti al sistema e verifica l'integrità dei file con il checksum. Ci saranno alcuni file che falliranno sempre, naturalmente, come i file di registro. Ma vorrai contrassegnare i file che sono stati modificati a tua insaputa, come i file di avvio oi file di sistema.
Una risorsa aggiuntiva potrebbe essere quella di analizzare il traffico dal server. Raccogli tutte le informazioni che puoi per essere d'aiuto in uscita, porta server, dove sta andando il traffico, ecc.
In genere un sistema compromesso sta cercando di inviare informazioni su Internet. Essendo che si trattava di un server di scambio, potrebbe essere usato per inviare spam alle e-mail in modo che non sembrasse strano.
Un sacco di intrusioni possono essere rilevate anche con l'anti virus, ma ovviamente ciò non significa la tua sicurezza!