Eu imagino que há duas coisas que você poderia fazer. Opção A (mais fácil) seria apenas fazer uma imagem da unidade quando você obtê-lo e restaurá-lo sempre que necessário. Opção B (mais difícil) seria para diferenciar todos os arquivos contra seus originais. "Cada arquivo" deve ser lido como a saída de dpkg -l e provavelmente tudo sob /var e /etc .
O único registro do que é feito em uma máquina seria o que está em seu histórico de shell (que eles provavelmente não deixaram por você) e nos logs de utilitários como dpkg e apt , o que provavelmente ser regenerado mais facilmente usando dpkg -l do que analisando os logs.
Nota: acho que a opção C seria perguntar ao seu provedor o que eles fizeram.