Шаг первый: отключите сервер, выключите его и сделайте клон жесткого диска. При проведении судебно-медицинской экспертизы используйте только этот диск-клон, не трогая оригинал.

Вы должны иметь возможность перебросить диск клона в другую систему, смонтировать его и начать копаться, чтобы увидеть, что сделал пользователь. Первое, что я проверю, это пользовательский ~/.bash_history, если он есть. Большинство умных хакеров удалит этот файл, когда они закончат свою работу, но есть вероятность, что он все еще может быть здесь. Если это не сработает, то все, что вам действительно нужно, - это сообщения журнала в / var / log. Вы можете попробовать бежать rkhunter над системой, но ИМО, это того не стоит, так как вы уже знаете, что эта система взломана. В зависимости от того, насколько сообразительным был этот пользователь, вы, возможно, никогда не узнаете, что он на самом деле сделал.

На вашем месте я бы полностью переустановил систему и восстановил ее из заведомо исправной резервной копии. Это единственный способ убедиться, что система не взломана. Кроме того, когда вы запускаете новую систему, сделайте себе одолжение и отключите PasswordAuthentication в твоем /etc/ssh/sshd_config file и используйте вместо него ключ auth. Делая это, вы будете много безопаснее от такого рода злонамеренных действий.

Часть первая (что делать): Согласно тому, что написала ErikA. Вы уверены, что система скомпрометирована, поэтому правильным решением будет отключить ее.

Часть вторая (установка ловушек): вы мало что можете сделать с хостом, так как любые действия на хосте могут предупредить человека (лиц), скомпрометировавшего сервер. Поскольку вы используете SSH, также нетривиально проанализировать восходящий поток пакетов, чтобы восстановить сеанс оттуда. Я бы лично проигнорировал это и пошел бы с тем, что написала ErikA (отключите сервер; клонируйте диск; если требуется судебное расследование, используйте клонированные данные; установите новый сервер; защитите новый сервер; восстановите данные из известных -хороший бекап).