Не ответ Вы хотите, но я назвал бы поставщика ответственным за аппаратные средства/гарантию - это должно быть на "легко" читаемой этикетке на самом сервере ;) (иногда, люди помещают их сверху стоечных серверов и затем продвигают другой сервер в тот слот, скрывая этикетку> <),
Это могло быть что-либо, необходимо, по крайней мере, узнать делание и рассматриваемую модель....
Я всегда защищал бы полное, восстанавливают в случае известного компромисса. Это - единственный безопасный путь.
Принятие Вас имеет резервные копии, и они являются недавними, и они покрывают больше, чем просто данные по серверу, у Вас есть материал для судебной экспертизы.
Если Вы уже не используете инструмент, такой как Шеф-повар, или Марионетка для создания быстро восстанавливает к известному состоянию, то начните.
После того как машина была восстановлена, необходимо думать о векторах атаки и как смягчить против них. Вы упомянули свою конфигурацию ssh - существуют многие другие - для центрального Redhat, и параноидального подхода, посмотрите здесь:
http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf
Для Debian и аналогичного подхода, посмотрите здесь:
Debian отмечают точкой org/doc/manuals/securing-debian-howto/
Удачи.
К сожалению, так как у него был корневой доступ нет никакого способа действительно знать то, что хакер сделал к системе. Они, возможно, изменили журналы для сокрытия их дорожек и любого другого нанесенного ущерба. Формат и переустанавливает или восстанавливает от известных хороших резервных копий, единственный безопасный способ пойти.Удачи.
Следующий раз отключает корневой вход в систему, изменяет ssh порт и получает iptables, идущий сразу же.
Лично, если я базирован, захватите данные из резервного копирования идеально. Если не захватывают его с сервера и начальной загрузки и уничтожают его. (http://www.dban.org/)