mmmm prima di tutto il consiglio che ti dò è di formattare l'intero sistema e reinstallare il tutto.. sai mai che il malintenzionato abbia sostituito degli eseguibili creati ad hoc...
per il resto buh non saprei che cosa potrebbe essere che versione del software hai, che distro usi, quali servizi hai verso l'esterno... i log di apache dicono qualche cosa...?
e quelli di sistema?
Comunque il fatto che ti abbia lasciato i suoi file all'interno di tmp dimostra che non è abile
tra l'altro pare che ti usino come fileserver su irc... maledetti succhiatori di banda