Даже если операционная система вашего нового сервера укреплена до последней степени, и вы используете новейшее исправленное программное обеспечение и не имеете больше сервисов с открытым текстом, они просто могли получить доступ на старом сервере через веб-приложение, работающее на сервере - например, через SQL-инъекцию или уязвимость загрузки файлов. Поэтому вы можете снова стать жертвой, если развернете то же приложение на новом сервере.
Поэтому я действительно рекомендую вам провести анализ кода (хотя я также рекомендую "и") и выполнить тест на проникновение веб-приложения, используя кого-то, кто профессионально занимается подобным тестированием, или предложить сообществу вознаграждение за ошибку, чтобы они сделали это за вас. И регулярно проводите исправления, сканирование уязвимостей и пен-тесты - по крайней мере, раз в год или при смене программного обеспечения, в зависимости от того, насколько вы цените услуги, которые предоставляет вам сервер/приложение.
PS Пока ваш сервер не работает, возьмите его изображение и запустите autopsy для создания временной линии взлома (взломов) - сконцентрируйте идентификаторы пользователей, которые вы видели 500, 1xxx. Я подозреваю, что вам будет полезно знать, как проводится экспертиза, особенно если вы, вероятно, снова станете мишенью. Хотя, как указывалось в предыдущих ответах, взломщики могли замести следы и изменить ключевые библиотеки и исполняемые файлы, чтобы оставить ложную временную линию. Опять же, вы можете MD5sum исполняемых файлов и библиотек на изображении и сравнить с оригинальными версиями, чтобы выяснить, пытались ли они замести следы.
Сначала создайте каталог, в который вы хотите смонтировать USB-устройство, обычно что-то вроде /mnt/usb, затем выполните следующее-
sudo mount /dev/sdb3 /mnt/usb