C'est une sorte de sujet en soi; vous pouvez google for linux forensics pour plus d'informations. Fondamentalement, vous devez d'abord créer une image de vos disques pour une analyse hors ligne, puis essuyer l'ordinateur et installer à partir d'une table rase.
Et rappelez-vous tous les faux frais. Toute personne utilisant l'ordinateur aurait pu voir son mot de passe compromis. Modifiez les mots de passe, gardez-les hors ligne, etc. jusqu'à ce que vous les obteniez dans une «salle blanche» (machine virtuelle isolée).
Sinon, c'est beaucoup de vérification des journaux (qui peuvent être falsifiés) et de vérification de vos applications (scripts php? Bases de données? Mis à jour pour les derniers correctifs? D'autres utilisateurs donnent des mots de passe?)
Il n'y a littéralement aucun moyen facile de répondre à votre question, car vous devez effectuer un travail médico-légal sur le serveur et vérifier les trous. Vous pouvez utiliser certains outils automatisés, mais gardez à l'esprit que si l'attaquant avait des privilèges root, vous ne pouvez plus faire confiance aux binaires du système et vous ne pouvez pas faire confiance aux journaux.
En ce qui concerne les futures attaques, selon le niveau de sécurité que vous souhaitez sécuriser, vous pouvez commencer par rediriger vos journaux vers un système qui est juste utilisé pour enregistrer les journaux système. Aucun autre accès, pour réduire l'empreinte de l'attaque.
Vous devez également exécuter un logiciel de somme de contrôle sur votre système comme Tripwire pour vérifier l'intégrité de vos fichiers.
Et bien sûr, restez à jour avec les mises à jour et exécutez un logiciel d'analyse qui vérifie les rootkits.
Encore une fois, la sécurité n'est pas une chose à jeter. Cela peut aussi être une spécialité en soi. La sécurité en couches peut être aussi stricte que la vérification des hôtes / IP qui n'appartiennent pas à votre réseau, le chiffrement de tous les accès au système, l'envoi de journaux quotidiens des modifications trouvées sur votre système et la configuration d'un pot de miel sur votre réseau pour recherchez une activité étrange (pourquoi mon serveur essaie-t-il de se connecter au port 25 sur l'ordinateur du pot de miel?)
Tout d'abord, si vous souhaitez vérifier l'activité, obtenir l'image disque et réinstaller le logiciel serveur. De zéro. Les fichiers binaires du serveur ne sont plus fiables.
EDIT - d'autres choses qui me viennent à l'esprit depuis que vous exécutez SSH - installez denyhosts. Il peut être configuré de sorte que les attaques automatisées contre votre système sur SSHD soient bloquées après X nombre d'essais. Il peut également être configuré pour se mettre à jour à partir d'autres serveurs denyhost dans un «cloud» pour partager des IP verrouillées afin de minimiser les attaques automatisées. Vous pouvez également déplacer le port sur lequel il écoute; de nombreuses personnes soulignent que ce n'est que de la sécurité grâce à l'obscurité, mais étant donné le nombre de robots analysant, cela réduit considérablement les tentatives aléatoires de percée.