Windows 2016 server exploitleri mevcut böylelikle root yetkisi ile istediği dizine dosya yükleyebilirler. Ya bütün exp açıklarını değerlendirin yada 2021 servere geçin.

edit: Ssh ile bağlanan kullanıcılara bakabilirsiniz belki root olmuş olabilirler.

/etc/passwd/ dizininde root yetkisi olan var mı kontrol edin.