Olá, Andre! A sua pergunta é bastante pertinente e é um desafio comum enfrentado por muitos profissionais de TI.
Existem algumas maneiras de abordar o problema que você mencionou, mas nenhuma delas é perfeita ou completa. Vou tentar te dar algumas sugestões, mas lembre-se que elas podem não cobrir todos os casos.
Histórico de comandos: No Linux, você pode usar o comando history para ver o histórico de comandos executados no terminal. Este pode ser um bom ponto de partida para entender o que foi feito no servidor. Porém, este histórico pode ser limitado ou apagado, e não inclui comandos executados por scripts ou programas.
Logs do sistema: O Linux mantém vários logs do sistema que podem conter informações sobre o que foi instalado ou modificado. Você pode verificar os logs em /var/log/, em particular o dpkg.log que registra as ações do gerenciador de pacotes.
Arquivos de configuração: Muitos programas e serviços no Linux têm arquivos de configuração que podem indicar o que foi instalado ou modificado. Estes arquivos estão geralmente localizados em /etc/, mas podem estar em outros lugares também.
Ferramentas de auditoria: Existem ferramentas como o AIDE (Advanced Intrusion Detection Environment) que podem ser usadas para monitorar mudanças em arquivos e diretórios. Se o AIDE estiver instalado e configurado, você pode usá-lo para ver o que foi modificado.
Ferramentas de gestão de configuração: Se o servidor estiver usando uma ferramenta de gestão de configuração como Ansible, Puppet, Chef ou Salt, então você pode encontrar o roteiro de instalação nos scripts dessas ferramentas.
O ideal seria ter um processo de documentação e controle de versão para os scripts e configurações do servidor, para evitar esse tipo de situação no futuro.
Espero ter ajudado e bons estudos!
