해킹을 당한 것 같습니다.

특정시간(22시 ~ 04시)이 되면 a서버에서 트래픽이 제한선(100mb)까지 올라가서 b서버에 영향을 미쳐서 정상적으로 동영상 서비스을 제공할 수 없네요.

chkrootkit을 실행하면 netstat infected 라는 메세지가 나오고 조금 더 진행하다가 searching snife하면서 서버 전체가 먹통이 되네요.

재부팅하구 다시 chkrootkit 실행하면 역시나 똑같구요.

chrootkit를 실행하기 전에 /tmp 파일에 이상한 메일링리스트하구 그걸 돌리는 듯한 php, perl 스크립트가 있어서 걍 삭제 했었습니다. 아래는 mrtg 화면과 해당 시간대의 로그 파일입니다. 제가 어떻게 대처해야 하는지 조언 부탁드립니다.

[mrtg]
a 서버
b 서버
[ log file ]

Nov 20 04:02:01 rs1 syslogd 1.4.1: restart.

Nov 20 04:02:05 rs1 proftpd[615]: rs1.rootshell.co.kr - received SIGHUP -- master server rehashing configuration file

Nov 20 07:00:00 rs1 su(pam_unix)[5308]: session opened for user root by (uid=0)

Nov 20 07:00:02 rs1 su(pam_unix)[5308]: session closed for user root

Nov 20 11:31:38 rs1 xfs[22552]: fatal: Read error from remote host: Connection timed out

Nov 20 20:53:19 rs1 xfs[572]: log: Connection from 64.34.161.110 port 4691

Nov 20 20:53:29 rs1 xfs[572]: log: Address 64.34.161.110 maps to www.webnetsecure.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!

Nov 20 20:53:35 rs1 xfs[572]: log: Password authentication for root accepted.

Nov 20 21:03:18 rs1 xfs[222]: log: Generating new 768 bit RSA key.

Nov 20 21:03:18 rs1 xfs[222]: log: RSA key generation complete.

Nov 20 22:39:06 rs1 xfs[572]: fatal: Local: Command terminated on signal 9.

Nov 20 22:48:24 rs1 modprobe: modprobe: Can't locate module binfmt-0050

Nov 20 22:48:24 rs1 modprobe: modprobe: Can't locate module binfmt-0050

Nov 21 01:56:40 rs1 xfs[13820]: log: Connection from 86.126.52.47 port 1500

Nov 21 01:56:51 rs1 xfs[13820]: log: Could not reverse map address 86.126.52.47.

Nov 21 01:56:58 rs1 xfs[13820]: log: Password authentication for root accepted.

Nov 21 02:03:18 rs1 xfs[222]: log: Generating new 768 bit RSA key.

Nov 21 02:03:18 rs1 xfs[222]: log: RSA key generation complete.