Veio roda o chkrootkit, porque se for um rootkit escroto, ele sobreescreve ls, ps, pstree, lsof, com umas versões que ocultam ele proprio rodando, então nesse não tem mesmo como você saber só dando um "ps".

O interessante é que também no caso de sobrescrever o ls, ele grava umas versões antigas, caso você der ls no /lib por exemplo, os links simbolicos estarão "estranhos" parecendo hardlinks, e em alguns casos se você der 'ls" em diretorios com arquivos maiores que 4gb, ele da erro, ai você pode pegar o safado.

Verifica tambem teu /etc/rc.local ou rc.sysinit em busca de algo estranho.

flow