Я думаю что единственно правильного алгоритма действий нет, но есть некоторые правила.
- Во-первых, никакой паники. Паника - ваш враг.
- Если вы знаете какой сервис был взломан - немедленно отключите его. Например, если взломан Apache - погасите его немедленно
- Далее. Сделайте бекап. Немедленно. Скопируйте все ценные данные куда то в другое место. Хотя бы локально к себе на лептоп, если проект небольшой
- Измените все пароли. Именно ВСЕ. Пароль SSH, пароли на админку, пароли баз данных
- Если ваш сервер содержал чьи то данные (например, у вас интернет магазин или что то такое). Немедленно сообщите людям, данные которых могли быть взломаны. Во-первых, это правильный шаг с моральной точки зрения. А во-вторых, так вы обезопасите себя от обвинений в сокрытии угрозы (пускай даже это случилось не по вашей вине).
Не хочу писать много - как говорится, лучше меньше, но по делу. Быть может, остальные участники форума поделятся своми мыслями.