受损的 Web 服务器/多个域名

可能重复：
我的服务器被黑了 紧急求助

今天早些时候，我在一台服务器上发现了很多奇怪的文件（运行 Ubuntu Server 10.04），我不知道它们是怎么来的。可能是某种 XSS 注入，需要进一步挖掘我的应用程序。

我发现：多个域名的 Web 根目录中有多个目录，这些目录的简称（“wesz”、“aog0”、“uioolz”等）​​包含完全相同的文件和文件结构。Google 没有告诉我有关这些文件或目录的任何信息，因此我把它们放在这儿。它看起来像是针对 Microsoft Live 及其用户的 MITM 登陆页面。

文件结构：

- uioolz (or similar short named directory)
    dataz.php
    index.php
    go.php
    smart.php
    - fll
        <HTML, CSS & JS files for MITM>

有人认识它们吗？或者能告诉我它们为什么会出现在我的网根目录中？

我运行了多种工具来检查 root kit、挖掘日志、bash 历史记录等，但我找不到任何表明攻击者拥有 shell（或者他们非常擅长隐藏 shell）的东西。找到的目录和文件也有 apache 用户作为所有者和组，这可能表明它们是通过注入攻击上传的。然而，我在多个 Web 根目录中发现了完全相同的文件和目录，这些根目录和域没有任何共同之处，这仍然让我感到困扰。这可能表明他们确实获得了 shell……但服务器上的并非所有域都受到了攻击，只有一小部分受到了攻击。

我该怎么做？目前我还没有机会进行全新安装，但我会完成的。

有没有什么有用的工具可以检查 XSS 或其他类型的注入漏洞？

我还可以补充一点，入侵者的文件似乎将信息发送到两个外部域（特别是 gta.php）；

http://colorpop.com/wp-content/plugins/mailchimp/gta.php?info=<BASE64-INFO>
http://oderena.lt/gta.php?info=<BASE64-INFO>

通过代理注册商注册的域名。