Entre las IPs que elbrujo a puesto sobre el ataque, abrí una al azar: http://81.30.2.203/.
He encontrado un script de bash que había en la página y me ha parecido algo sospechoso.
El script llamado emo.sh.
http://81.30.2.203/recordings/
Este tiene una ip 77.247.110.58, la cual tiene un archivo textual (run.txt), con muchos hashes interesantes .