Se eu tiver um VPS (no oceano digital) executando o debian e compartilhar o acesso root a este servidor via chaves SSH ou senha root com alguém, essa pessoa pode manter meu site (aquilo que está sendo hospedado no servidor) como refém? Ou seja, eles têm tanto acesso quanto eu.
Não posso simplesmente redefinir a senha do root e remover todas as chaves SSH para garantir que ela esteja segura novamente?
Caso contrário, eu poderia simplesmente criar um novo VPS e recarregar todo o código/banco de dados do site e começar do zero?
Alguém me disse que a única solução era jogar tudo fora, incluindo o código (código php magento) no servidor e começar do zero, mas acho que isso é um exagero.
Na DigitalOcean você pode fazer o login como root a partir do console DO (e você não precisa compartilhar o acesso a isso). Caso contrário, você também pode destruir o droplet e reconstruir um de seus backups não hospedados no DO (porque você os possui, é claro :)) ou dos instantâneos do DO (se você pagou por isso) ou uma mistura dos dois (os instantâneos são feito semanalmente)(*). Se você tiver um domínio, também poderá alterar o domínio para apontar para uma máquina completamente diferente.
Sim, no caso geral, quando você foi hackeado, a única maneira de ter total confiança no sistema é reconstruí-lo do zero, mas também depende para que você o usa, quão crítico é e quem o hackeou. O sequestrador é um caso bastante "benigno" porque faz tudo à vista. O verdadeiro vilão é aquele que hackeia seu sistema e o usa para seus próprios propósitos pelas suas costas.
(*) é claro que tudo isso pressupõe que você mantenha os backups dos últimos dias/semanas, caso contrário, seu único backup será a versão criptografada...