楼主这图片不是你吧，看起来像某个韩国明星，看地址：
http://stu.baidu.com/i?ct=2&tn=faceresult&rn=10&querysign=3463539120,1101434185&isImage=1&shituRetNum=32&similarRetNum=600&faceRetNum=1000&setnum=0&beautynum=0&stt=1&size_filter=-1&date_filter=0&pn=0&ic=0&z=&width=&height=#tab=1&pn=

看描述应该是骇客在你的服务器上种植了个php ddos工具用来作为botnet攻击别人……

kibana，这个玩意很强大，在分析web日志上比splunk做的好。

@outcast

我觉得你的看法有点不对，黑客没那么神奇，想黑你总是有途径的，有的时候只是因为被眼前的知识面左右了看不到全局而已，按照我说的做一遍，估计可以找到黑客。

putty挂马的那个dll注入的方法对于windows xp以下的可用，如果是windows 7或者更高的版本因为加入了dllcache安全保护机制，默认是无法执行这个putty dll注入木马的，我之前做过分析过这个木马。

其次被黑可以找找linode的客服咨询下情况，问问账户登录地址以及做了哪些操作。
其次把网站上的代码全部拉下来，对比下和本地看哪些文件有被改动或者本地不存在而远程存在；
其次把web log拉下来，对比被黑时间段的操作， 看攻击者对你的站点都做了哪些操作。
其次把所有的代码都拉下来，用检测webshell的方式对其进行一次扫描；
linode本身操作系统存在问题的可能性比较小，具体情况可按照我上边说的自己查一遍，查不出来再说。

@tarsier 显然是socket。

笑而不语。