aloha чё за звер? нужны ваши мысли.

Я что то упустил? =) тоже помогу замочить его )

расскажите как попадают.

как ко мне попали не знаю - /var/log пуст.

заменили /usr/sbin/sshd и т.п.

создали каталог этого sip-брутфорсера или что это там в /.boot/aloha/*

Дырки в скриптах, скорее всего. А дальше заработал какой-нить эксплойт, скорее всего - раз в итоге они умудрились файлы root модифицировать.

А если у Вас VPS - че греха таить... С распространением известных копеешных "хостенков" - я бы не исключил и такой вариант, что злоумышленники получили доступ к HW ноде, на которой Ваша VPS.

Ежели буквально "пуст" - эт уже клиника. Бекапьте данные и сетапьте все по-новой.

сломали xen-ноду как раз.

(dom0)

Ну и че на dom0 у вас есть, помимо ssh?

xen+python конечно, mc, bind9, exim4, nfs, gcc, debconf..., vnc4server, xtightvncviewer, rtorrent

(? админ ставил по время установки видимо последние 3 шт)

стоял один из ftp демонов какое-то время.

Если всю эту шваль поставил "админ" на dom0 - по нему кащенка плачет. Зачем что-то кроме ssh на dom0?