Se hai motivo di credere che il sistema possa essere compromesso, cancella il server e ripristina dall'ultimo backup conosciuto.
Prendete comunque un'immagine per vedere se è possibile determinare in che modo il sistema è stato compromesso e collegare la vulnerabilità. Ma questo non è un processo facile, soprattutto se non si ha esperienza in questo genere di cose - anzi se si tenta di farlo da soli allora è probabile che tale intervento possa occludere la natura del compromesso - certamente le "prove" sarebbero considerate gravemente contaminate da qualsiasi autorità di contrasto / giurisdizione.
La convalida dei checksum del pacchetto è un punto di partenza, ma non altrettanto efficace quanto un regime di controllo dell'integrità dei file correttamente gestito (tripwire, LIDS, ecc.). I registri sono anche un buon posto per guardare. Ma devi capire cosa ti stanno dicendo questi strumenti.
C'è un sacco di cose che dovresti fare prima un sistema è compromesso: configurazione delle autorizzazioni, firewall, facoltativamente installazione di ulteriori misure di sicurezza come mod_security, suhosin, fail2ban, ecc. Parte del mantenimento di un il server dovrebbe eseguire regolarmente un rilevatore di rootkit su di esso. Per un sistema / cluster di valore significativo si dovrebbe eseguire anche la scansione periodica della vulnerabilità. Ma non ha senso fare nulla di tutto questo dopo l'evento.