구체적인 답변은 아니지만..
얼마전에 저도 고생한적이 있어 몇자 적습니다.
저 같은 경우에는 iptables로 막아 버리고 맙니다.
일단 최근 보이는 스크립트의 경우..
spykids.pl는 5050, 56487 포트를 사용하고..
아파치를 가장한 업로드 같은 경우는 1666, 44464 포트를
사용합니다.
또한 프로세스가 perl로 나오는 스크립의 경우 8089 포트를
사용하고요.
기타 여러가지 스크립트가 있기 때문에 포트를 일일히
드랍시키긴
조금 힘들겠지요.
(정리하면.. 5050, 56487, 1666, 44465, 8089, 6697, 65500, 9865, 6969)
일반적으로 위의 포트를 사용해서 접속하는데..
저 같은 경우 서버에서 사용하는 포트를 제외한 모든 포트를
1:65536까지 drop 시켜서 처리 하고 있습니다.


[김현지]님이 남기신 글:

>-----------------------------------------
>답변자가 기본적으로 참고할 내용입니다.
>- 배포판(옵션)    : 안녕 1.1
>- 커널버전(옵션)
  : 2.4
>- 데몬버전(예:apache
 1.3.27) : 
>- 데몬설치유형(RPM/컴파일/기타)
 : 
>-----------------------------------------
>
>안녕하세요 
>
>요새들어 /tmp  와  /var/tmp   디렉토리에보면
 여러가지 스팸성 프로그램이 깔려있습니다 특히 /var/tmp 안에는
 .bash_history 가남구여
>아무래도 누가 해킹을 하는듯한데 계속 지우고 해도
수시로들어오내요

>파일권한들을 보면 apache : apahce 권한입니다. 웹을 통해서
온건지
>어떤방법인지는
 모르지만 자꾸 스팸성메일을 보내서 트래픽등이올라가고

>불안합니다. 
>
>어떻게 하면 일반사용자들이
 메일잘쓰고 저런권한을 막을 방법이 있을가여
>임시적으로 /tmp 를 1700  으로 하면 하지는 못하지만
일반사용자들이나

>기타 로그파일등이 저장이안되서 잠시뿐입니다 좋은 해결책점
알려주세요
>
>아참 그리고 제가 초보라서 그런데 저런 파일등이
실행되고있는지는
 어떻게 파악을 하는지요 

========================================