sudo passwd на Ubuntu 11.10 странное поведение. Я был укоренен?

Я в действительно странной ситуации. Несколько часов назад Rackspace выпустил билет, в котором говорится, что с моего сервера происходит исходящий поток.

Думая, что сервер мог быть рутирован с помощью руткита, я запустил сканирование chkrootkit и ничего не обнаружилось.

Поэтому я решил сменить пароль ssh и вот что получилось.

$ passwd <<username>>
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully

Когда я сделал то же самое на другом Ubuntu 11.10, это случилось.

$ passwd <<username>>
Changing password for username.
(current) UNIX password:
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully

Следовательно, на одном сервере (предположительно атакованном) команда passwd не запрашивает "предыдущий" пароль перед его изменением. На другом сервере это делает.

Я проверил журналы доступа nginx и нашел http-вызовы, происходящие из формы "localhost". Я думаю, что на сервере может быть запущен подозрительный скрипт.

Возможно ли, что система взломана?

Наконец, я хотел бы спросить, знает ли кто-нибудь о хорошем сканировании руткитов, которое я мог бы запустить на сервере. Я не прошу серебряную пулю, а то, что вы, ребята, обычно используете. Я довольно плохо знаком с безопасностью сервера.

Спасибо, парни!