отследить, какой процесс изменяет файлы в /bin

ИМХО, use rootkit hunter dude.

Попробуй для начала lsof и посмотреть конфиг cron-демона.

политики selinux не помогут ? ;)

действительно, нашелся руткит L-что-то-V5, создающий в /lib файлы lidsh.so и директорию /lib/libsh.so/ в которой ssh сервер с сключами и шелл (и в /usr/lib/ чтото подобное)

правда подключится к хосту все равно бы не получилось, так как неиспользуемые порты были закрыты файрволом.

к сожалению, удаление библиотек не спасло от постоянных изменений файлов в /bin у файлов распухает размер на ~12kb и время модификации меняется на текущее

lsof на эти файлы ничего не давал, в кроне тоже ничего не вызывалось подозрительного...

в общем, в целях минимизации потерь времени, буду переливать машину с нуля, с последнего чистого бекапа

Оффтопик, конечно, но неплохо бы ещё понять, откуда и почему этот руткит взялся. Всё ж нерядовое событие

Это как раз просто :( забыли поставить usePAM no в конфиг sshd_config

в результате возможность логинов по паролям осталась, несмотря на отключенный passwordauth.

в результате подобрали рутовый пароль

обычно же удаленные подключения возможны лишь по ключам.

А почему вообще ссш позволяет рутом заходить?

PermitRootLogin no

так было настроено - при отсутствии парольной аутентификации (использование только ключей), ситуация считалась достаточно безопасной.

мда.. решили выпендрица с ключами а так запаролись :) fail2ban || -m recent + запрет логина рута по ссх и все..