Monitorización real efectiva de tus servidores para una detección temprana de los problemas

  • Para nosotros, la detección temprana de los errores constituye una parte fundamental del servicio. Así mantenemos nuestros sistemas con tasas mayores de funcionamiento y no permitimos que el usuario final del servidor detecte el error.

    –FRANCIS BROSNAN BLÁZQUEZ, ASPL HOSTING

fondoAzulRoyalblue
deteccion-temprana

Detección temprana

Nuestra política es aplicar una monitorización intensiva del estado interno de los servidores de cara a detectar los problemas lo antes posible.

fondoAzul.Normalpng
servicio-modificacion-48x48

Solución temprana

Esta detección temprana nos permite ofrecer un servicio superior ya que muchas de las incidencias tienen su origen en problemas pequeños que son fáciles de solucionar, evitando así que se conviertan en caídas de servicio graves que son detectadas por los usuarios del servidor.

fondoAzul
core-admin-logo

Panel Core-admin

La monitorización es realizada en tiempo real (cuando ocurre el fallo) utilizando la tecnología de monitorización incluida en Core-Admin (una tecnología desarrollada por ASPL específicamente para entorno servidor).

Pero, exactamente, ¿qué monitorización realizáis?

La monitorización realizada por nuestros sistemas se centra en tres puntos y que son ampliados con más información en las siguientes secciones:

  • Monitorización del estado del servidor: que comprende la comprobación del estado de los servicios y su funcionamiento en general.
  • Monitorización de los registros del servidor: que comprende la monitorización en tiempo real de los registros (logs) del servidor en búsqueda de evidencias de fallos, evidencias de problemas de seguridad o evidencias de problemas de configuración.
  • Monitorización del sistema de ficheros: que comprende la monitorización en tiempo real de los cambios que se producen en los ficheros del disco, junto con la búsqueda de expresiones en esos ficheros para detectar cambios no autorizados.


Monitorización del estado del servidor

A continuación se muestra una lista con los elementos básicos revisados por los comprobadores incluidos en Core-admin.

Comprobador: hostname
Descripción

Asegurar que el hostname configurado es consistente con la configuración del sistema.

Qué soluciona

Muchas aplicaciones no funcionan correctamente si el valor de hostname no está correctamente configurado y sincronizado con la información IP

Comprobador: dns
Descripción

Asegurar que el servidor DNS configurado en el servidor está funcionando correctamente.

Qué soluciona

La mayoría de aplicaciones fallan cuando el servicio DNS no está disponible

Comprobador: swap
Descripción

Asegurar que la swap configurada en el servidor está funcionando y no alcanza niveles críticos que puedan bloquear el sistema

Qué soluciona

Evitar que la cantidad de memoria de trabajo en swap no entre en umbrales críticos. Evitar que la máquina entre en estado de “swapping”.

Comprobador: syncookie
Descripción

Asegurar que el soporte syncookie está activado en el servidor para mitigar ataques synflood

Qué soluciona

Mitagar o reducir ataques de tipo syncookie.

Comprobador: pop3
Descripción

Asegurar que el servicio pop3 local está funcionando (si está instalado). La comprobación tiene soporte para hacer un ring-test completo.

Qué soluciona

Detectar fallos en servicio pop3

Comprobador: imap
Descripción

Asegurar que el servicio de imap está funcionando correctamente (si está instalado).

Qué soluciona

Detectar fallos en servicio imap

Comprobador: smtp
Descripción

Asegurar que el servicio SMTP está funcionando correctamente. La comprobación tiene soporte para hacer un ring-test completo.

Qué soluciona

Detectar fallos en servicio smtp

Comprobador: apache2
Descripción

Asegurar que apache2 funciona correctamente y que en todos los puertos devuelve código 200 OK.

Qué soluciona

Detectar fallos en servicio apache2

Comprobador: mysql
Descripción

Asegurar que el servicio de mysql funciona correctamente y que el límite de conexiones actualmente configurado no alcanza niveles críticos.

Qué Soluciona

Detectar fallos en servicio mysql

Comprobador: crontab
Descripción

Trazar y comprobar los cambios de crontab introducidos para determinar si son legítimos o están siendo utilizando para hacer persistencia de exploit/rootkit/hacking

Qué soluciona

Evitar que contenido malicioso sea ejecutado periódicamente

Comprobador: uptime
Descripción

Comprobar que el tiempo de arranque es consistente y para detectar reinicios no previstos del sistema.

Qué Soluciona

Detectar cambios en el estado de uptime del sistema

Comprobador: tmp-working
Descripción

Comprobar y asegurar que el directorio temporal del sistema funciona correctamente (permite a los usuarios crear y borrar sus ficheros), que tiene los permisos correctos y que no está lleno.

Qué soluciona

La mayoría de aplicaciones no funcionan correctamente con un /tmp lleno o no operativo. Se trata de evitar este punto o al menos detectarlo.

Comprobador: disk-full
Descripción

Comprobar y monitorizar el estado de uso de los discos de manera que una alerta se genera en el caso de que los niveles de alerta o crítico son alcanzados.

Qué Soluciona

Detectar llenado de disco para tomar acciones lo antes posible.

Comprobador: loopback
Descripción

Asegurar y comprobar que la interfaz loopback está configurada y funcionando

Qué soluciona

Muchas aplicaciones no funcionan correctamente si no se dispone de una interfaz loopback en el sistema. Se pretende detectar y corregir el problema lo antes posible.

Comprobador: syn-flood-detect
Descripción

Comprobar y bloquear aquellas ips que crean demasiadas conexiones en estado “half-opened” para deshabilitar o mitigar los ataques DOS basados en syn-flood.

Qué Soluciona

Tener una primera barrera automática de detección y bloqueo.

Comprobador: arcconf
Descripción

En caso de tener una tarjeta raid Adaptec/Pmc-Sierra, el comprobador revisa el estado de la controladora, discos, memoria y batería auxiliar.

Qué soluciona

Asegurar funcionamiento del raid

Comprobador: hpacucli
Descripción

En caso de tener una tarjeta raid HP SmartArray, el comprobador revisa el estado de la controladora, discos, memoria y batería auxiliar.

Qué Soluciona

Asegurar funcionamiento del raid.

Comprobador: mdadm
Descripción

En caso de tener una instalación con raid sofware, el comprobador revisa el estado de la configuración, discos, memoria y batería auxiliar.

Qué soluciona

Asegurar funcionamiento del raid

Comprobador: megaraid
Descripción

En caso de tener una tarjeta raid Megaraid, el comprobador revisa el estado de la controladora, discos, memoria y batería auxiliar.

Qué Soluciona

Asegurar funcionamiento del raid.

Comprobador: cpu-usage
Descripción

Comprobar y trazar uso de cpu de manera general o por procesos particulares.

Qué soluciona

Evitar que procesos averiados o no autorizados utilicen más cpu de la necesaria

Comprobador: renamed-process
Descripción

Comprobar y trazar procesos que comenzaron con una ruta binaria y luego cambiaron a otra diferente. Ataque básico para ocultar procesos.

Qué Soluciona

Detectar procesos renombrados como elemento básico adicional de detección temprana de ataques

Comprobador: iptables-running
Descripción

Comprobar y asegurar que está ejecutando el firewall de la máquina (basado en iptables).

Qué soluciona

Asegurar que el firewall iptables está ejecutando y levantarlo automáticamente si es posible.

Monitorización de los registros del servidor en tiempo real

A continuación se muestra una lista de alguno de los elementos comprobados en los registros del sistema de manera. Esta información es comunicada al centro de soporte para su evaluación y posterior respuesta.

Cuelgues del kernel
Descripción

Búsqueda de evidencias de cuelgues del kernel (“stack traces”) de manera que se pueda anticipar un reinicio programado o proceder al reemplazo del componente con fallos.

Comando no encontrado
Descripción

Búsqueda de evidencias con “command not found” para descartar problemas de configuración o intentos de ataques.

Bases de datos corruptas
Descripción

Búsqueda de evidencias de bases de datos con fallos o pendientes de reparar (MySQL, SQLite, PostgreSQL).

Reinicios o apagados
Descripción

Búsqueda de evidencias para detectar reinicios o apagados para comprobar si es legítimo.

Fallos en componentes de correos
Descripción

Búsqueda de evidencias de que algún componente del sistema de correo está fallando.

Fallos de conexión con base de datos
Descripción

Búsqueda de evidencias sobre intentos fallidos de conexión a base de datos que deberían funcionar.

Detección de uso no autorizado de cuentas de correo
Descripción

Búsqueda de evidencias sobre uso no autorizado de las cuentas de correo para evitar que sean capturadas para el envío de Spam o para realizar operaciones de suplantación.

Detección y bloqueo de intentos de login fallidos (pop3, smtp, imap, ftp, ssh, sip…)
Descripción

Búsqueda de evidencias y bloqueo de ips cuando se detecta intentos fallidos de conexión (y se determina que son fraudulentas).

Detección y registro de accesos ssh
Descripción

Búsqueda de evidencias sobre los accesos ssh realizados a los servidores.

Monitorización del sistema de ficheros

A continuación se muestra una lista de alguno de los cambios en el sistema de ficheros que son monitorizados. Esta información es comunicada al centro de soporte para su evaluación y posterior respuesta.

Cambios solicitados por el usuario
Descripción

El usuario puede configurar otras carpetas a monitorizar o expresiones a buscar cuando se produzcan cambios.

Cambios en el sistema /etc
Descripción

Monitorización de los cambios en el directorio de configuración que es utilizado por defecto por los sistemas Linux.

Cambios en los ficheros de los alojamientos (.php y similares)
Descripción

Se monitorizan los cambios en los alojamientos buscando expresiones que indiquen que la página ha sido comprometida o contiene código potencialmente peligroso.