PHPのファイルアップローダーをサイトで公開していたのですが、
CentOS5サーバにPHP型のトロイの木馬を仕込まれて、
大量のシンボリックリンクを貼るフォルダが作られていました。

それが1ヶ月前で今気づいたのですが、目に見える被害はなさそうです。
が、気になって仕方がありません。まずどこを確認すれば良いのでしょうか?

ちなみに、iptablesで海外からのアクセスをはじいていたのですが、
ログを見るとモロッコのIPから操作されていました・・・。