A 80-as és a 443-as portok helyett is használhatsz mást, de persze ez esetben értesítened kell a felhasználóidat, hogy mostantól a https://domain.tld:22443 -on érhetik el pl. a webmail-t.
Amennyiben ez nem járható, akkor mindenképpen a portok mögött lévő szolgáltatást kell megerősítened.
És ha van security update hozzá akkor feltétlenül frissítened.
A "hogy veszed észre" jó kérdés, mert szerintem ha profi "szakember", akkor ahogy írták nem biztos hogy észrevehető.
Google-ben erre keress rá: "how to check if my linux server has been hacked"
Én két dolgot tudok javasolni, ami nekem segített:
- munin-t felrakod (publikusan ne legyen elérhető) és beállítod, hogy ha pl. a load vagy a cpu használat vagy a postfix mailqueue x érték fölé megy, akkor küldjön mailt neked --- ez nekem segített mikor egyik felhasználóm e-mail fiókját feltörték és hirtelen k. sok levél kezdett menni kifelé
- logwatch-ot felrakod, e-mail címedre küldést és detail level-t 10-esre beállítod --- én 1-2 naponta végig szoktam pörgetni, még 10 éve 1x így szúrtam ki, egy számomra ismeretlen felhasználó bejelentkezését, ami egy bot volt