Nesta fase, a resposta normal é "eliminar, reformatar e restaurar a partir de backups".
Existem toneladas de questões relacionadas aqui ou no google, tente pesquisar um pouco.
edite: oh, e mantenha-o fora da rede até que seja consertado. :)
Eu herdei um servidor Linux Plache do Apache CentOS que foi hackeado, que tem sites que estão em produção.
Eu fui aconselhado pelo meu amigo a reconstruí-lo do zero, já que o ataque aparentemente é bastante difundido e é difícil detectar o que é violado aparentemente.
Eu nunca reconstruí um servidor, e eu não configurei o servidor em primeiro lugar, então o que eu estou perguntando é, se há uma receita ou uma lista de verificação fácil de seguir sobre como conseguir uma reconstrução e restaurar tudo como deveria ser?
Nesta fase, a resposta normal é "eliminar, reformatar e restaurar a partir de backups".
Existem toneladas de questões relacionadas aqui ou no google, tente pesquisar um pouco.
edite: oh, e mantenha-o fora da rede até que seja consertado. :)
Esse conselho é sólido. Uma vez que alguém entra eles freqüentemente criam backdoors auto-recriando múltiplos e outras guloseimas. Não há como verificar se você se livrou deles, a não ser recomeçar do zero. Eu já experimentei isso antes e não é divertido.
chkconfig --list mostrará quais serviços estão sendo executados. Você vai querer olhar para 3 e talvez 5 para ver se há algo mais importante em execução no servidor. Haverá muitos serviços sendo executados por padrão, com os quais você não precisará se preocupar. Para os mais importantes, mantenha uma cópia dos arquivos de configuração para referência, mas não copie-os para o novo servidor. Talvez imprimi-los seja o caminho a seguir. Você precisará verificar e entender as configurações para se certificar de que elas não foram alteradas para algo prejudicial, mas pelo menos você terá um ponto de partida para o que precisa ser feito.
Para os arquivos de dados (páginas da web), esperamos que você possa retirá-los de um repositório de backup ou de origem em um servidor diferente, em vez de precisar copiá-los do servidor invadido. Se você precisar copiá-los, tente digitalizá-los com um software antivírus, procure algo incomum e espere o melhor.
Para ajudar você a configurar um servidor na próxima vez, você também deve dar uma olhada no software de instalação automática.
O importante é que seja uma instalação completa e configurada sem o toque de uma mão humana, até que seja possível restaurar dados de um backup e antes de permitir que o servidor volte à rede.
Ele ajudará você e futuros administradores a restaurar servidores após diferentes desastres, como falhas de hardware e invasões como essa. Eu também trabalharei como uma boa e atualizada documentação do software e da configuração de seus servidores.