Когда система поставлена под угрозу, Вы никогда не уверены, было ли все убрано, и лучшее решение состоит в том, чтобы всегда переустанавливать систему, но необходимо сделать некоторую судебную экспертизу для предотвращения этого снова.
chkrootkit и rkhunter являются хорошими средствами проверки руткита, но они весьма ненадежны.
Кроме того, выполненные nmap от внешней машины и видят, существует ли некоторый порт, открытый это, Вы не ожидаете.
debsums является также хорошей справкой при проверке на поставленные под угрозу двоичные файлы.
И у Вас есть какие-либо идеи, как хакер получил доступ к машине и какой сервис был уязвим? Фокус особенно там (но не только там). Посмотрите, известны ли там проблемы с той версией программного обеспечения. Проверьте на каждый возможный журнал, который Вы имеете в своей файловой системе. Если у Вас есть mrtg, отклоняющееся приложение (как ганглии, munin или кактусы) проверяют его в течение возможных периодов времени нападения.
Необходимо также рассмотреть машину, рассмотрев следующие темы:
закройте сервисы, в которых Вы не нуждаетесь
протестируйте резервное копирование регулярно
следуйте за наименьшим количеством принципа полномочия
обновите Ваши сервисы, особенно относительно обновлений системы защиты
не используйте учетные данные по умолчанию
Объявление местоположения со строгим соответствием и кешированием в нем:
location = / {
proxy_pass ...;
proxy_cache ...;
}