La cosa più importante da capire è che il tuo server è compromesso fino in fondo. Sebbene l'autore dell'attacco non possa aver installato alcun rootkit o simili, non hai modo di saperlo. Le tue uniche opzioni è portare il sistema offline e analizzarlo usando una fonte esterna. Prima è, meglio è, altrimenti resterai calpestato da qualsiasi prova attraverso l'uso normale del server.
Quindi, in pratica, prendi il server offline, estrai il disco, clonalo, cancellalo, usa i backup (se ce li hai!) per riavere uno stato utilizzabile, quindi inizia a guardare i dati sul disco (ricorda di esaminare solo i dati - non avviare mai il sistema).
Se sei fortunato, troverai tracce dell'attaccante lasciate nei log del server web o nei registri ftp. A seconda del livello di accesso, potresti anche essere in grado di trovare qualcosa nei registri di autenticazione. Ovviamente, controlla tutti i registri che il sistema offre: forse sarai fortunato.