第一步：让服务器离线，关闭它，然后克隆硬盘。进行取证工作时，只使用此克隆硬盘，不要触碰原始硬盘。

您应该能够将克隆驱动器放入另一个系统，安装它，然后开始四处查看用户做了什么。我首先要检查的是用户的~/.bash_history，如果有的话。大多数聪明的黑客在完成工作后会删除此文件，但它可能仍然存在。如果这不起作用，那么您真正需要做的就是查看 /var/log 中的日志消息。您可以尝试运行rkhunter系统，但在我看来，这并不值得，因为您已经知道这个系统已被入侵。根据这个用户的精明程度，您可能永远不知道他们实际上做了什么。

如果我是你，我会完全重新安装系统并从已知良好的备份中恢复。这是确保系统没有受到损害的唯一方法。此外，当你启动新系统时，请帮自己一个忙，关闭PasswordAuthentication文件/etc/ssh/sshd_config并改用密钥身份验证。通过这样做，你将很多从而免受此类恶意活动的侵害。

第一部分（该怎么做）：正如 ErikA 所写。您确定系统已受到威胁，因此正确的做法是将其脱机。

第二部分（设置陷阱）：在主机上你能做的并不多，因为在主机上做任何事情都可能让入侵服务器的人感到惊慌。由于你使用的是 SSH，因此从上游嗅探数据包以从那里恢复会话也并非易事。我个人会忽略这一点，并遵循 ErikA 所写的内容（关闭服务器；克隆磁盘；如果需要进行取证调查，请使用克隆的数据；安装新服务器；保护新服务器；从已知良好的备份中恢复数据）。