(Sim, não responde ao que ele está perguntando. Respondendo o que ele precisa saber )
Derrube-o da órbita ... É a única maneira de ter certeza. Você não pode realmente confiar em um sistema comprometido e seus problemas são mais do que o perl bot.
Acontece, porém, mas o que você sabe sobre é apenas a ponta do iceburg.
Então ... Backup. Agora mesmo. Quero dizer. No meu caso, fiz um despejo em nível de arquivo do meu sistema de arquivos inteiro para uma caixa do Windows e executei uma verificação de antivírus - que encontrou um vírus. Imaginar o disco seria mais divertido, mas imaginar um VPS remoto parecia uma receita para a dor no momento.
Reinstale o seu sistema operacional.Sim, é uma dor, mas você não sabe o que foi feito.
Configure o acesso remoto do modo correto . Configure a autenticação baseada em chave. Desabilite o acesso root via ssh. Use uma porta não padrão. Se você quiser, instale o fail2ban e configure-o.
Agora, vamos falar sobre investigação . Dependendo do sabor do linux executado, você provavelmente pode rastrear os endereços IP dos quais o invasor se conectou. Seu inteiramente inútil, já que o invasor pode estar usando outro sistema comprometido, mas é provavelmente útil se você quiser bloqueá-lo temporariamente no firewall. Você precisará classificar as entradas em /var/log/audit/audit.log em redhatealikes e /var/log/auth.log em distros baseadas em ubuntu - grep pode funcionar, mas explicar como fazer isso é um outro livro inteiro .
Você também pode usar isso para descobrir quando o invasor entrou e talvez verificar quais arquivos foram alterados por aí - essa pergunta sobre U & L parece ser um bom começo .
O fato de ser um script aparentemente copiado e copiado sugere que o invasor não é muito habilidoso. É bom, pois o dano é limitado, mas ruim, no sentido de que ele não pode realmente saber o que todas as suas ferramentas fazem.