Entonces uno de tus servidores está comprometido. Determina esto porque observa que se está ejecutando un proceso extraño (como root, desafortunadamente). No hay información útil sobre este proceso de Googlear.
Lo primero es lo primero, limpiemos este servidor sucio conocido. Destruye desde la órbita, nos vemos luego. ¿Cómo trato con un servidor comprometido? es Una buena guía para tratar con ese servidor.
Ahora, un proceso que se ejecuta como root en una caja dentro de la red interna no me da mucha confianza de que este ataque está contenido solo en este único servidor, sin embargo, no puedo encontrar inmediatamente firmas en otras cajas. Va a ser una tarea masiva, probablemente con una pérdida importante de datos o tiempo de inactividad, destruir completamente toda la infraestructura y reconstruir.
¿Qué pasos debe tomar para sentirse seguro de que un ataque no se ha propagado a otros servidores de la red?
Bonus: Esta es una pregunta amplia. No puedo encontrar ningún buen recurso para describir las mejores prácticas actuales para tratar la respuesta a incidentes / el análisis forense. ¿Existen recursos?