"valaki felmásolt egy dropbear nevezetű dolgot"
A netstat valószínűleg mutatni fogja.
Immutable flag levétele, procps csomag újrainstallálása, az xfs3 kiiktatása és törlése az rc-ből, exim.conf törlése (elsőként elmozgatása), /dev/null helyreállítása, ebben az időszakban módosult vagy létrejött file-ok keresése. Zárójelben, de fontos: ez csak a működőképesség helyreállítása. A gép ilyenkor kompromittáltnak tekinthető.
Van róla szó itt és itt, és várható, hogy a Google egyre több találatot fog rá adni.