Помогите разобраться rootkit ли это хитрый

Пару дней назад на сервере начались проблемы, то почта упадёт, то утилиты глючат.

После не долгих разбирательств понял что повреждены все утилиты пакета procps.

top ps pkill w uptime и так далее ...

Например top и ps вместо имён пользователей, даже для коротких юзеров показывает только их UID.

w - вообще не показывает кто сейчас авторизован в шелле...

Часто от этих команд вылазят надписи вида: Unknown HZ value! (89) Assume 100.

Попробовал обновить procps выдаёт:

unable to make backup link of `./usr/bin/uptime' before installing new version: Operation not permitted

Пошёл дальше смотерть ч то с этим файлом, отсортировал по дате изменения /usr/bin и увидел все утилиты procps изменённые в 2 дня назад.

Что самое интересное, все они примерно одинакового размера, 500кб, хотя на другом сервере эти утилиты вестя в пределах 10кб, тут возникает только одна мысль, их подменили, так как сисадмину приходится запускать их от root пользователя то получается вечный очень умный rootkit. Что он делает я не пойму, замечал только что падает почта и куча ошибок в exime, была заметна попытка подмены конфига, но не удалась.

А теперь самое интересное, хочу удалить нафиг все эти файлы чтобы переустановит пакет, и вот что выходит:

unlink /usr/bin/uptime

unlink: cannot unlink `/usr/bin/uptime': Operation not permitted

Как же так, ведь я под root пользователем. Почему же не удаляется фаил? залочен?

Кто нибудь встречался с подобным? Как с таким бороться, только переустановкой OS?

Гуглил 2 дня, но так и не нашёл никаких вирей и руткитов похожих под моё описание :(