第一步：让服务器离线，closures服务器，并制作硬盘克隆。 在进行取证工作时，只能使用此克隆驱动器，不要改变原来的状态。

您应该能够将克隆驱动器放到另一个系统中，挂载它，然后开始查看用户的操作。 我要检查的第一件事是用户的~/.bash_history ，如果有的话。 大多数聪明的黑客在完成他们的工作后会删除这个文件，但是这个文件还有可能存在。 如果这不起作用，那么你真的必须通过/ var / log日志消息。 你可能会尝试在系统上运行rkhunter ，但IMO，这是不值得的，因为你已经知道，这个系统是妥协的。 根据这个用户是多么的精明，你可能永远不知道他们实际上做了什么。

如果我是你，我会做一个完整的系统重新安装，并从一个已知的好备份恢复。 这是唯一可以确保系统不受影响的方法。 此外，当您启动新系统时，请自己帮忙，然后closures/etc/ssh/sshd_config文件中的PasswordAuthentication ，然后使用密钥validation。 通过这样做，你会比这种恶意活动更安全。

第一部分（做什么）：根据ErikA写的。 你确定这个系统是被破坏的，所以正确的做法是把它离线。

第二部分（设置陷阱）：主机上没有什么明智的做法，因为主机上的任何事情都可能会警告服务器受到攻击的人员。 由于您使用的是SSH，所以上行数据包嗅探以恢复会话也不是微不足道的。 我个人会忽略这一点，然后按照ErikA的说法（取下服务器;克隆磁盘;如果需要进行法医调查，请使用克隆的数据;安装新服务器;保护新服务器;从已知数据中恢复数据良好的备份）。