para verificar se você está comprometido:
strings /path/to/httpd | egrep open_tty
se o grep retornar QUALQUER linha, você estará comprometido.
parece que o modo de quebra é via força bruta ssh. Portanto, as melhores práticas para proteger o seu servidor são: desabilitar a conta root, usar sudo e desabilitar QUALQUER usuário que tenha / bin / bash login, e impor boas senhas ou nenhuma senha e usar chaves ssh.