Schritt 1: Ändere alle Passwörter, die Zugang zum Server verschaffen, auf zufällige Werte mit MINDESTENS 10 Zeichen Länge. Keepass wäre ein geeignetes Programm zur Erzeugung und Verwaltung von deinen Passwörtern.

Sollte Schritt 1 nicht sein, den kompromittierten Server vom Netz zu nehmen? Wer weiß, welche Privilegien der Angreifer mittlerweile besitzt. Selbst wenn es nur die Remote-Console über HTTP ist, sollte doch der HTTP-Daemon sofort abgeschaltet werden?

Mathias