Помогите! Мой сервер был взломан - .IptabLes и .IptabLex в /boot [закрыто]

Я запускаю сервер Ubuntu 6.06 dapper, и он был взломан. Сразу признаюсь, что я программист, а не системный администратор, поэтому, несмотря на то, что я работал с Unix/Linux много лет, мои навыки системного администратора крайне слабы.

У меня есть сайт, который работает под управлением apache 2 и tomcat для обслуживания веб-приложения Struts на базе Java. Производительность сайта становилась очень плохой, и после того, как я попытался понять, в чем может быть проблема, я обнаружил, что временная директория в моем домашнем каталоге заполняется файлами под названием getsetup.hb. *

Это было что-то новое, поэтому я покопался еще немного и, выполнив ps -ef, обнаружил, что запущена пара процессов, о которых я не знал и которые выглядели немного странно: /boot/.IptabLes и /boot/.IptabLex

Я поискал в Интернете подсказку, что это за файлы, и попробовал запустить netstat, чтобы посмотреть, какие иностранные хосты подключены. Оба файла .IptabLes и .IptabLex были подключены к IP-адресам, принадлежащим China Telecom.

Это было шоком для меня, потому что я настроил брандмауэр iptables так, чтобы он разрешал соединения с веб-сервером только через порт 80, а ssh через порт 22 был ограничен статическим IP, который я использую дома, чтобы иметь удаленный доступ к серверу.

Я убил процессы, удалил файлы из каталога /boot, а также обнаружил копии в корне и в /usr, которые я удалил. Я также сменил пароль root.

Сегодня я снова вошел в систему и увидел, что все файлы восстановлены, а соединение с IP-адресом China Telecom восстановлено.

Я понятия не имею, как действовать дальше. Пожалуйста, простите мое невежество, но я надеюсь, что кто-нибудь подскажет мне, как действовать дальше, чтобы решить эту проблему. Любые предложения приветствуются.

Заранее спасибо.

Mike