> Грубо говоря не виден в системе логи чистит, короче похоже на бекдор.
> Сервер удаленный пересобирать не буду долго он старенький.
> Как выявить бекдор?в простейшем случае сравнить даты модификации (ls -l) в /boot/kernel /bin/ /sbin итд. без логов и доступа к серверу сложно понять что там за бэкдор у вас. взять из дистрибутива 7.3 с официального сайта бинарник sshd. Проверить/заменить версиями из дистрибутива модули pam. попробовать поставить security/rkhunter (хотя вряд ли что найдет). find'ом поискать недавно созданные файлы по всей файловой системе, поискать суидники. короче масса вариантов. но начать можно с sshd. хотя если там нормальный бэкдор, то это модуль ядра, который, например, при поступлении определенного icmp пакета открывает root-shell на каком-то известном вашему другу порту.
ну а вопрос, откуда вам знать что там есть друг в системе, если в логах и процессах его не видать?