Info su rootkit

Un saluto a tutta la lista, che leggo sempre con molto interesse!

mi si presenta una situazione particolare per la quale chiedo un supporto a 
tutti voi:
Ho un server IBM, xSeries 250, BiProcessore,2GRam, Dischi raid e compagnia 
bella, Linux RedHat montato sopra;
Ha funzionato egregiamente per 6 mesi, dal cliente, poi un bel giorno si e' 
fermato: i profcessi hanno cominciato a morire, anche i piu' "stupidi", tipo 
ls -al  o df o cat .

Il tecnico hardware IBM ha cambiato TUTTO, oramai, tranne il pulsante di 
accensione e i led verdi del frontalino, quindi si suppone abbastanza 
verosimilmente  che non sia un problema HW
La macchina NON e' connessa direttamente ad Internet, e' un server  interno 
contenente il gestionale, ma la LAN ha comunque un altro server Linux che 
funge da gateway verso Internet, non so (non seguiamo totalmente noi la LAN) 
con che livelli di protezione. 

Dopo innumerevoli prove e esperimentazioni(formattazioni, reinstallazioni di 
Linux RedHat. 6.2,7.1,7.2) , ho scoperto che ad un certo momento, ancora non 
e' chiaro in QUALE momento, ma comunque DOPO aver installato altro software, 
comunque "casalingo" ovvero non scaricato daInternet ,  quasi tutti i files 
della directory /bin vengono modificati in lunghezza, ma non in data di 
accesso, anche quelli meno "critici", quindi anche vi, sleep, cat e cose del 
genere sono tutti piu' grossi.

Attualmente sto approfondendo la cosa,  ma sospetto che ci sia qualche 
programma exploitato.
ho usato chkrootkit ma non mi rileva alcun rootkit o trojan; 
Conoscete comunque dei rootkit o altre cose che sotto Linux cambiano una 
quantita' di programmi cosi' grossa (tutta la /bin come minimo)?

In questo momento, mentre attendo un vostro hint, sto facendo girare tutto 
pina piano, monitorando il piu' possibile i vari movimenti, ma un po' di know 
how esterno sarebbe molto gradito...
grazie,
saluti
RIc

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List