Linux-Malware/Bot finden

[Patrick Willam]

Hallo liebe Lesenden!
Ich hätt' da gerne mal folgendes Problem...

Ein Linux-Router (Debian testing¹ == "Squeeze") tut zwar das, was er soll,
aber seit einiger Zeit (Wochen? Monate?) auch noch etwas mehr:
Circa 12h Traffic-Mitschnitt (tcpdump -i ppp0 -n -w mitschnitt) brachten
ungefähr 80MiB an un-intendiertem Verkehr; auf den ersten Blick nur UDP.

¹) Jaja, da gehört stable hin usw.; das ist aber jetzt nicht der Punkt. ;-)
Apropos: Kernel wurde/wird immer ziemlich aktuell auf die stabile Version
(i.S.v. "Linux stable", nicht "Debian stable") und Revision gehalten.

(Es gibt momentan mehr Gründe als nur die reine Neugier, den "Schuldigen"
für diesen `Mehrwert´ an Traffic zu finden.)

Die grundsätzlichen Mechanismen sind mir wohl bekannt, bin aber kein
Security-Profi. Von daher habe ich keine super-zielführende Methodik
`in der Tasche´, um den Übeltäter (das Programm) in die Finger zu bekommen.

Vielleicht kann jemand der anwesenden Experten & Expertinnen so zwei/drei/
vier Werkzeuge (neudeutsch "Tools") oder Verweise (neudt. "Links") oder
auch bloß nützliche Stichworte für den Web-Suchschlitz[tm]nennen?

Bin von der Fülle an Ansatzpunkten und Informationen zu dem Thema zusehr
`erschlagen´, als daß ich wüßte, wo/was ein guter Anfang dabei ist. :-/

Mit lieben Grüßen an alle + dankbar für jede Hilfe,
Patrick