피싱에 서버가 이용당했습니다.

서버가 피싱에 이용당했습니다.
/img/paypal.com/ 이라는 디렉터리가 생성되어 있고
/img/paypal.com/cgi-bin/ 밑에 php파일 몇개가 업로드되어 있더군요
어떻게 파일을 업로드했는지 알아낼 수가 없네요.

각종 로그파일을 다 뒤져봤는데도 흔적이 없습니다.
파일은 root권한으로 올려져 있었는데 로그인한 흔적도 없구요

원격접속은 SSH를 사용하고 있고, 아이피도 제한되어 있어서
제 데스크탑에서만 로그인 되도록 되어 있습니다.

또 한가지 위의 paypal.com디렉터리를 삭제할 수가 없습니다.
rm -rf paypal.com 을 수행하면 허가 거부됨 이라고 나옵니다.
그 하위의 cgi-bin디렉터리에 같은 시도를 해보았으나 마찬가지입니다.
리스팅 해보면 아래와 같이 나옵니다.

4 drwxr-xr-x  2 root   root  4096 Jul 19 10:24 cgi-bin

위 디렉터리와 paypal.com 디렉터리를 삭제할 수 있는 방법 좀 알려주세요.
파일을 업로드한 흔적을 찾을 수 있는 방법 몇가지도 부탁드립니다.

감사합니다.