[Sauron]

Описываю ситуацию:
сегодня секретурка попросила глянуть почему у неё начиная с 27-го числа нету почты. полез, просто ради интереса, на сервер, который у нас на Debian, глянул логи авторизации в /var/log и обнаружил 200 килобайтный файл лога, в котором начиная с 8 утра 25-го числа шли многочисленные попытки подборки пароля root. 26-го числа вечером они увенчались успехом, что видно по логам. взломщики юзали французский проксик, как показала проверка whois на оставленный в логах айпишник. пароль рута я первым делом сменил.
теперь начинается самое интересное. почтовый сервер кушается лимитный интернет-тариф, который тут же ушёл в большой минус. ушёл он потому, что с 26-го числа данный почтовик используется с целью спама. согласно логам шли отсылки вплоть до 8 сообщений в секунду.
в данный момент почта не работает ввиду того что баланс отрицательный. пополнять баланс я им запретил до тех пор пока не решу проблему.
что могли оставить злоумышленники на сервере?
что именно мне теперь нужно убить, чтобы остановить спам идущий с сервака?

всем заранее спасибо за помощь. не могу сказать что сроки решения проблемы прям уж сильно поджимают, но чем дольше не будет работать почта, тем хуже.