Aunque hay mucho que puede hacer para proteger su caja, pero creo que es muy difícil asegurarse de que esto no vuelva a suceder si el servidor no se administra correctamente.
Bueno, con la modificación de la contraseña de root, literalmente, su servidor es de su propiedad y se convierte en una entidad compartida entre usted y el pirata informático, que es un no no para los administradores de sistemas.
Al recuperar el acceso a su servidor para una caja de Linux (la suya debe ser un servidor dedicado, un servidor dedicado o su propio servidor colocado en el proveedor de alojamiento, pero puedo estar equivocado), ¿creo que la respuesta habitual es ssh? Si no puede acceder al servidor ssh con sus credenciales, es posible que deba ponerse en contacto con su proveedor de alojamiento para que lo ayude.
Después de eso, debes averiguar el punto de entrada sobre cómo el hacker penetró en tu servidor (que es donde se encuentra la vulnerabilidad).
Lugares para mirar:
- Vulnerabilidad en el código de secuencias de comandos del lado del servidor (php, asp, aspx, jsp, cfm y etc.)
- Vulnerabilidad en los procesos que ejecuta su servidor (apache, ftp, servidor de correo, ssh)
- Etc (no aparece en la lista porque es demasiado amplio)
Cómo lidiar con eso:
- Rastree los registros de su servidor para detectar cualquier señal de incidente de piratería (si el pirata informático ya ha eliminado los registros, no tendrá suerte de que deba revisar los códigos por su cuenta) y corrija la vulnerabilidad.
- Puede hacer una verificación de aquí para cualquier vulnerabilidad de 0 días escribiendo el nombre del software y la versión de eso y espere a que el proveedor lo arregle o puede hacerlo usted mismo (si sabe cómo hacerlo).
- Etc (no está cubierto ya que hay demasiadas soluciones para diferentes conjuntos de problemas)
Si logró recuperar una copia de seguridad de su proveedor de alojamiento durante el incidente de piratería, se recomienda que no la restaure y la use tal como está (solo recupere el contenido) como un shell puede estar incrustado en su código y el pirata informático puede acceder a él y piratearlo nuevamente.
La próxima vez, deshabilite los procesos que no necesita (es decir, el servidor de correo, ldap o ftp si no envía correos electrónicos o utiliza un servicio basado en la web para cargar sus archivos) ya que aumenta la posibilidad de ser pirateado. (se pueden probar más vectores de ataque en su servidor) o limitarlo a solo su IP (consiga una IP estática en la que pueda lograrlo a través de algunos métodos).
Ya sea que destruyas tu servidor o no, es tu llamada, aunque te recomiendo que lo detengas.