Lo más importante a tener en cuenta es que su servidor está comprometido en todo momento. Si bien el atacante puede no haber instalado ningún rootkits o similar, no tienes forma de saberlo. Sus únicas opciones son desconectar el sistema y analizarlo utilizando una fuente externa. Cuanto antes, mejor, ya que de lo contrario, usted mismo pisoteará cualquier evidencia a través del uso normal del servidor.
Básicamente, desconecte el servidor, saque el disco, clónelo, límpielo, use copias de seguridad (¡si las tiene!) para recuperar un estado útil, luego comience a ver los datos en el disco (recuerde que solo debe examinar los datos, nunca arranque el sistema).
Si tiene suerte, encontrará rastros del atacante en los registros del servidor web o en los registros de ftp. Dependiendo del nivel de acceso, también puede encontrar algo en los registros de autenticación. Obviamente, revise los registros que ofrece el sistema, tal vez tenga suerte.