いや〜、やられましたよ。ワームなんだろうなぁ。ルータのアクセス頻度がちょっと異様だったので調べたら変なプロセスが動いてましたよ。
とりあえず公開できるキーワードは以下のとおり。

• 62.101.193.244
• lupii
• /tmp/local.tgz

速攻LANケーブル抜きましたとも。基本やね。
これらを取り除いてサイトを動かして監視中だけど、変なパケットは相変わらず。
今のところgoogleでは何も出てこないけど、local.tgzの中のタイムスタンプを見る限り10/10にどっかで作られたものらしく。
情報ないかな〜。
進入経路はeGroupWareのとあるPHPらしく。XMLがらみでやられた様子。マジ気をつけてくださいな。