para um usuário que não realizou nenhuma etapa maliciosa antes de sair, acho que sua abordagem está correta.
No entanto, se estiver preocupado com possíveis backdoors, recomendo:
- Se você não precisar navegar na Internet no servidor, recorte-o no firewall. Se fizer isso, tente ser seletivo em portas e destinos aos quais o servidor tem permissão.
- monitore as conexões de rede usando
netstat
normalmente, diferentes switches fornecem diferentes informações, use-p
para ver o ID do processo,-ant
para ver todas as conexões tcp. - Se você encontrou um processo que gera conexões estranhas, você pode seguir os arquivos que ele usa com
lsof
- Verifique no crontab para ver se alguma tarefa agendada está abrindo conexões. Leia
/etc/crontab
e verifiquecrontab -e
do usuário que ele acessou e raiz.
Esta deve ser a maneira de capturar backdoors realmente simples, no entanto, se você estiver falando sobre rootkits, provavelmente será impossível dizer ... se você realmente suspeitar que o cara fez alguma coisa, eu limparia o servidor e mova a instância do Django para uma nova instalação.
Espero que ajude!