Primeiro, desligue ou desconecte seu servidor da rede. Isso impedirá ataques que ainda estão em andamento. É muito provável que o seu servidor esteja comprometido. Você precisará fazer uma reinstalação completa e restaurar a partir de um backup em bom estado. Sim, isso é uma dor, mas é a única maneira infalível de garantir que você está restaurando arquivos "limpos". Antes de fazer isso, troque os discos rígidos do servidor ou tire uma foto deles. Isso permitirá que você faça algum trabalho forense para descobrir o que acontece.
Uma vez que o novo servidor está ativo, é necessário garantir que as senhas todas sejam alteradas para algo longo e complexo ou preferencialmente, apenas desabilite a senha auth e use a chave auth .