Где искаять уязвимость?

rm -rf /

Потом заново ставишь систему. Потом не используешь левые ppa. И читаешь мануал прежде чем что-то делать.

если у тебя есть какой-нибудь WordPress или что-то подобное на пхп - то это попало через уязвимость в нем. Смотри логи, скорее всего у тебя еще остался бэкдор.

Как можно узнать откуда появилась?

Читать логи, думать.

И как себя обезопасить себя от этого в будущем?

Зависит от результата предыдущего действия.

http://revisium.com/ai/ + потом логи вебсервера посмотри

ppa здесь не при чем, ломают через веб в 99% случаев.

отследи время когда тебя взломали. на сайтике повесь табличку: «ведуться работы». откатись на бэкап до взлома и попытайся исправить уязвимость. если не могешь найти и хочешь обезопасится - включи selinux и настрой права для веб сервера хорошенько

с selinux твой сайт конечно смогут опять взломать но бэкдор не повесят. и уже отталкиваясь от этого ты можешь расставлять ловушку на ломателя

ломают через веб в 99% случаев.

Или ftp, если по фтп данные заливаются. Причём не ломают даже, а трояном тянут сохранённые пароли с виндовых рабочих станций и используют. Собственно, могут и не по ftp, наверное, при этом раскладе.

все легче и проще
ищешь веб шелл, потом грепаешь логи когда и как он был залит. все

была масса ядерных сплойтов с обходом selinux, так что это не панацея

если хороший бэкдор получил рута то он наложит своего кода во все системные утилиты и вычистить без заливки старого бэкапа будет геморой

ядерных сплойтов с обходом selinux

лично я не видал. в любом случае с selinux защиты побольше

до поднятия прав мы еще не дошли, для начала достаточно веб шелл найти и удалить

лично я не видал.

sock_sendpage, abftw.c хотя бы

100 лет как пофикшено же

конечно, но в паблике вообще нет ядерных эксплойтов для текущих версий ядра

волков бояться - в лес не ходить :P