Ajuda! Meu servidor foi invadido - .IptabLes e .IptabLex em / boot [closed]

Estou executando um servidor dapper do Ubuntu 6.06 e ele foi invadido. Eu vou admitir aqui que sou um programador e não um administrador do sistema, por isso mesmo que eu tenha trabalhado com o Unix / Linux por anos, minhas habilidades como administrador de sistema são extremamente fracas.

Eu hospedo um site que está executando o apache 2 e o tomcat para servir um aplicativo da web Struts baseado em Java. O desempenho do site estava ficando muito ruim e, depois de tentar entender qual era o problema, descobri que um diretório temporário no meu diretório pessoal estava sendo preenchido com arquivos chamados getsetup.hb. *

Isso era novo, então eu pesquisei um pouco mais e descobri rodando o ps -ef que havia alguns processos rodando que eu não conhecia e que pareciam um pouco estranhos para mim, /boot/.IptabLes e / boot / .IptabLex

Eu procurei na Web por uma pista sobre quais eram esses arquivos e tentei executar o netstat para ver quais hosts externos estavam conectados. Ambos .IptabLes e .IptabLex estavam conectados a endereços IP que pertenciam à China Telecom.

Isso foi um choque para mim porque eu tinha o software de firewall iptables configurado para permitir apenas conexões ao servidor web na porta 80 e o ssh na porta 22 era limitado a um IP estático que eu uso em casa para que eu possa acessar o servidor remotamente.

Eu matei os processos, removi os arquivos do diretório / boot e também encontrei cópias na raiz e no / usr que eu removi. Eu também mudei a senha do root.

Efetuando login novamente hoje, vejo que os arquivos estão todos de volta e a conexão com os IPs da China Telecom foi restabelecida.

Não tenho ideia de como proceder aqui. Por favor, perdoe minha ignorância, mas espero que alguém possa me orientar sobre como proceder daqui para resolver isso. Qualquer sugestão é bem vinda.

Obrigado antecipadamente.

Mike