루티킷으로 확인하니 해킹당했는것 같은데..

 이 수퍼유저코리아에서 다운 받은 배포판 레드햇9.0, 커널 2.4.20-8SMP 인 제가 운영하는 서버에서 해킹의 흔적이 있어 자문을 구합니다.

근 1년전에 해킹때문에 고생했었던 서버인데.. 와우리눅스 7.3에서 그 당시 레드햇9.0으로 업그레이드 해서 다 설치한후 괜찮았었는데,

얼마전에 버추얼로 운영중인 한 사이트의 생성 게시판이 자꾸 삭제되어서 로그 분석을 해보다 특별한 이상점을 찾지 못해 루트킷을 돌려보니,

Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/5.8.0/i386-linux-thread-multi/.packlist

Checking `bindshell'... INFECTED (PORTS:  3049)

이렇게 감염이 되었더군요..

그런데 해킹의 현상이 아직까지 특별한 것은 없습니다.

해킹 당한 파일이 무엇인지, 최선의 방법은 다시 재설치해야 할것이라고 염두해 두고 있다만, 현재로선 특정 한 사이트의 게시판이 삭제되는것 말고는 특별한 현상이 없어 관망하고 있는 상황입니다.

궁금한것은 해킹을 당한 파일 검색 방법, 그리고 재설치시 지난번엔 업그레이드했는데,

이번엔 어떻게 /home 이랑 /db 를 남겨두고 다른 파티션만 재설치해서, 커널 업그레이드 하는식으로 작업을 하는것이 수순인지 .. 보안 관련된 경험이 많은 고수님들의 자문을 구합니다..