서버해킹 당한거 같은데요 로그분석 및 대처방법 문의

로그를 보니 perl 으로는 눈에 띄는 단어가 보입니다.
요거는 실제 root가 어떤 작업을 예약해 놓거나(cron) 실행하지도 않았는데
프로세서로 있는것은 의심해 봐야 합니다.(perl 로 처리되는 소스가 없다면)
pstree -p 하셔서 perl 이 있으시면  pid 숫자를 다음과 같이 찾아갑니다.

cd /proc/숫자  그리고
ll 로 리스트를 보시면
이프로세스의 출처가 나옵니다.
보통 /tmp에 nobody 권한의 무언가를 맹글어 놓고 보안에 위배되는 짓을
하곤합니다.

서버단에서 기본적으로 할수있는 보안은
TCP Warpper
Iptables
sshd.conf 에서의 ssh root 로 접근못하게 하는 것등이 있습니다.