Si tiene motivos para creer que el sistema puede estar comprometido, borre el servidor y restaure desde la última copia de seguridad válida conocida.
De todos modos, tome una imagen para ver si puede determinar cómo se vio comprometido el sistema y eliminar la vulnerabilidad. Pero este no es un proceso fácil, especialmente si no tiene experiencia en este tipo de cosas; de hecho, si lo intenta usted mismo, es probable que dicha intervención pueda ocluir la naturaleza del compromiso. Ciertamente, la "evidencia" se consideraría gravemente contaminada. por cualquier aplicación de la ley / jurisdicción.
La validación de las sumas de comprobación del paquete es un punto de partida, pero no es tan eficaz como un régimen de comprobación de integridad de archivos adecuadamente administrado (Tripwire, LIDS, etc.). Los troncos son un buen lugar para mirar también. Pero tienes que entender lo que te dicen estas herramientas.
Hay muchas cosas que debería hacer antes de un sistema comprometido: configurar los permisos, firewall, instalar opcionalmente medidas de seguridad adicionales como mod_security, suhosin, fail2ban, etc. Parte del mantenimiento de un el servidor debería estar ejecutando un detector de rootkits en él regularmente. Para un sistema / clúster de valor significativo, también debe realizar un análisis periódico de vulnerabilidades. Pero no tiene sentido hacer nada de esto después del evento.