Sebbene ci sia molto che puoi fare per proteggere la tua scatola, ma credo che sia molto difficile assicurarmi che ciò non accada se il server non è gestito correttamente.
Bene, con la tua password di root cambiata, letteralmente il tuo server è di proprietà e diventa un'entità condivisa tra te e l'hacker che è un no no per gli amministratori di sistema.
Sul riottenere l'accesso al tuo server per una macchina Linux (il tuo dovrebbe essere un server vps, dedicato o il tuo server in colocation al provider di hosting, ma potrei sbagliarmi), credo che la solita risposta sia ssh? Se non riesci ad accedere al server ssh con le tue credenziali, potrebbe essere necessario contattare il tuo provider di hosting per aiutarti.
Dopodiché, devi scoprire il punto di ingresso su come l'hacker ha penetrato il tuo server (che è dove si trova la vulnerabilità).
Luoghi da guardare:
- Vulnerabilità sul codice di scripting lato server (php, asp, aspx, jsp, cfm ed ecc.)
- Vulnerabilità nei processi in esecuzione sul server (apache, ftp, server di posta, ssh)
- Etc (non elencato in quanto troppo ampio)
Come gestirlo:
- Traccia i log del tuo server per rilevare eventuali segni di incidente da hacking (se l'hacker ha già rimosso i log, non sei fortunato che potresti dover controllare i codici da solo) e correggere la vulnerabilità.
- Puoi fare un controllo su qui per qualsiasi vulnerabilità di 0 giorni digitando il nome del software e la versione di esso e attendere che il fornitore lo aggiusti o puoi correggerlo da solo (se sai come farlo).
- Etc (non trattato in quanto ci sono troppe soluzioni per diversi set di problemi)
Se sei riuscito a recuperare un backup dal tuo provider di hosting durante l'incidente di hacking, è consigliato che non lo ripristini e lo usi così com'è (basta recuperare il contenuto) come la shell può essere incorporata nel tuo codice e l'hacker può semplicemente accedervi e modificarla nuovamente.
La prossima volta, disabilita i processi che non ti servono (ad es. server di posta, ldap o ftp se non invii email o usi un servizio web per caricare i tuoi file) poiché aumenta la possibilità di essere hackerato (è possibile provare più vettori di attacco sul tuo server) o limitarlo solo al tuo IP (procurati un IP statico in cui raggiungi qualche metodo).
Sia che si tratti di nuke il tuo server o meno, è la tua chiamata anche se ti raccomando di nuotare.