Primeiro passo: coloque o servidor offline, desligue-o e faça um clone do disco rígido. Ao fazer seu trabalho forense, use apenas esse clone drive, deixando o original intocado.

Você deve ser capaz de lançar o clone em outro sistema, montá-lo e começar a bisbilhotar para ver o que o usuário fez. A primeira coisa que eu verificaria seria o ~/.bash_history do usuário, se houver um. A maioria dos hackers inteligentes exclui esse arquivo quando termina seu trabalho, mas ainda há uma chance de ele estar por perto. Se isso não funcionar, tudo o que você realmente precisa fazer é acessar as mensagens de log em / var / log. Você pode tentar executar rkhunter sobre o sistema, mas IMO, não vale a pena, como você já sabe que este sistema está comprometido. Dependendo de quão experiente esse usuário era, você pode nunca saber o que ele realmente fez.

Se eu fosse você, faria uma reinstalação completa do sistema e restauraria a partir de um backup em bom estado. Essa é a única maneira de você ter certeza de que o sistema não está comprometido. Além disso, ao trazer o novo sistema, faça um favor a si mesmo e desative PasswordAuthentication no arquivo /etc/ssh/sshd_config e use a chave auth. Ao fazer isso, você estará muito mais seguro com esse tipo de atividade maliciosa.

Parte Um (o que fazer): De acordo com o que ErikA escreveu. Você tem certeza de que o sistema está comprometido, então a coisa certa a fazer é colocá-lo off-line.

Parte Dois (armadilhas de definição): Não há muito que você possa fazer de maneira sensata no host, já que fazer qualquer coisa no host pode alertar as pessoas que comprometeram o servidor. Como você está usando o SSH, também não é trivial para o sniff de pacotes para recuperar a sessão de lá. Eu, pessoalmente, ignoraria isso e seguiria o que ErikA escreveu (tire o servidor; clone o disco; se for necessária uma investigação forense, use os dados clonados; instale um novo servidor; proteja o novo servidor; recupere dados de conhecidos bom backup).