어디서 찾아가야하는지 알수 있을까요? tcpdump를 켜놓고 실재로 로그인을하면 udp 로 외부와 통신하는게 보이는데 이건 정상으로 보이는데.. 감이 오질않네요

tcpdump로 통신하는 IP를 사용하는 파이썬 파일과 확실하지 않지만 의심가는게 sbin에 있는 sshd입니다. 이 뒤부터 막혀서 어떤 방법이 필요한지 아무리 생각해봐도 모르겠는데 힌트 좀 주실분 있으신가요?

악성파일은 찾았는데 제가 이해한게 맞다면 이 파일을 가져온(침투시킨) 다운로더를 찾아야되는 것 같은데 맞나요..?

개발자 PC에서 로그인을 할 때 마다 네트워크 데이터에 민감한 로그인 정보가 유출되고 있음을 파악 => 로그인 시 자동 실행 인가 ? 라고 생각하고 접근하였으나 별 다른 점이 없었음 tcpdump 패킷 덤프 뜨고 확인하였고 통신하는 것까지 확인하였습니다. 이후 네트워크 데이터로 전달이 된다면 해당 ip 주소가 있다는 생각하에 ip 정규식을 통해 파일을 찾았지만 별다른 소득은 없었습니다. 원초적으로 비정상적인 접근이나 파일/ 프로세스도 너무 깔끔하게 안나와 뇌가 타버린 상태입니다. 2주 넘게 다른 접근 방식이 생각이 안나는 상황입니다. 혹시 참고할만한 레퍼런스가 있을까요 ㅠㅠ.

몇시간 째 붙잡고 있는데 grep 다 돌려보았는데... 악성코드가 안찾아집니다

ip 주소나 port로 검색해서 해당파일을 찾는 거 같은데 다 찾아봐도 안나옵니다. 접근이 잘못된 건지, 아니면 제가 잘못 찾는 건지 판단이 안 됩니다. 도움이 필요합니다 사랑합니다