Saludos, desee hace 4 días he notado que el servidor web que controlo me genera un trafico muy elevado de subida, este es generado por un archivo llamado linuxx que se ubica en el directorio raiz, al analizar hacia donde me genera ese trafico he detectado una sitio en china 120.37.143.243, lo que no se es como se activa ese archivo, he revisado el history, el /var/log/secure, el /var/log/messages, las tareas de CRON pero no encuentro como es que se escribe en raiz, pues lo borro, el acceso por ssh lo tengo con clave rsa, ¿alguien me podría dar una idea de donde analizar para ver como se ejecuta ese archivo y eliminar esas instrucciones?.

¿Tienes desactivado SELinux? Activalo. Ésta es una de muchas cosas contra las que protege SELinux.

Revisa dentro de /var/spool/crond y /var/spool/atd.

Cambia el puerto de SSH por otro distinto al 22.

Si permites ingreso por FTP, configura para usar sólo conexiones con TLS y cambia todas las contraseñas de usuarios que permitas ingresar por FTP.

Si es un servidor con CPanel... siento decirte que muy probablemente tienes instalado el backdoor que se reportó hace un par de meses. Vas a tener que desinstalar por completo apache y volver a instalarlo.

Gracias por la respuesta Joel
El SElinux estaba desactivado, ya lo activé, no tengo Cpanel el /var/spool/crond y /var/spool/atd no veo nada anormal, ya cambie el puerto ssh ahora voy a esperar ya que en los registros el archivo se ejecuta a las 8am, ademas no tengo FTP.

Trata de buscarlo.