1)サーバの /tmpディレクトリ下に
/tmp/sess_3539283e27d73cae29fe2b80f9293f59
というようなファイルが存在する。
2) netstat -na|grep 6667 の実行結果として
心当たりの無い先 との接続が認められる。
3) Webサーバ実行時以外でも
/usr/local/apache/bin/httpd -DSSL
というプロセスが存在している。
1)については phpのセッションファイルと同様のファイル名となっているが、内容は
#!/usr/bin/perl
#
# ShellBOT - FBI TEAM Corporation
#
# 0ldW0lf - effbeeye81@aol.com
# - www.security.cnc.net
#
な物だったりすると思うし。
さらに状況が悪い場合、 ls -la したときに .c とかディレクトリ掘られてるのを発見したり、spamや 釣り用scriptが稼動してるのを見つけたりすると思う。