In quel caso specifico, per quanto ho capito, il compromesso iniziale è stato fatto risalire a un sistema compromesso in cPanel . La violazione ha permesso l'attacco indiretto di alcuni sistemi che usano cPanel, e l'attaccante aveva l'abitudine di installare un rootkit che mise una backdoor in SSH.
La metodologia generale per capire cosa è successo e whodunnit è la stessa che in ogni caso di debug post mortem: raccogliere dati e amp; Pensare a fondo. Se molte macchine sono state compromesse, prova a capire cosa hanno in comune. Ispeziona tutti i file di registro. Prendi un'immagine byte-to-byte del disco rigido di una macchina interessata e vedi se ci sono cose interessanti nei file eliminati (la maggior parte degli attaccanti coprirà le loro tracce cancellando i file temporanei che hanno usato, ma pochi si preoccuperanno di riempire effettivamente il disco corrispondente aree con zeri). Questo è chiamato forensics ed è una competenza a sé stante.