ось Mandarakre 9, ядро 2.4.19-16mdk
вобщем несколько дней назад (был откоючен файрвол) с сервера
была удалена samba. В логах я нашел следующее:

Mar  5 CROND[24497]: (root) CMD (killall -9 smbd >/dev/null 2>&1)
Mar  5 04:10:00 82 syslogd: Printing partial message
Mar  5 04:10:00 82 78>Mar  5 04:10:00 CROND[24499]: (stalin) CMD (cd /home/stalin/irssi; ./pppd Sventevith >/dev/null 2>&1)
Mar  5 04:10:00 82 last message repeated 2 times
Mar  5 04:10:00 82 syslogd: Printing partial message
Mar  5 04:10:00 82 78>Mar  5 04:10:00 CROND[24501]: (tupac) CMD (cd /home/tupac/irssi; ./pppd Mordor >/dev/null 2>&1)
Mar  5 04:10:00 82
Mar  5 04:10:00 82 syslogd: Printing partial message
Mar  5 04:10:00 82 78>Mar  5 04:10:00 CROND[24503]: (stalin) CMD (cd /home/stalin/irssi; ./pppd Anorexia >/dev/null 2>&1)

были созданы пользователи stalin и tupac, в домашних каталогах которых помещен бинарник pppd

никакого другого вреда я не обнаружил.
подобный случай уже происходил однажды, т.е. samba уже удаляли.

Кто-нибудь с таким встречался?
Каким образом осуществлена эта атака и, что лучше сейчас сделать.