Итак, грузимся с чистой системы (установочный образ lenny). Восстанавливаем пакеты, запускаем chkrootkit (тьфу на авторов системы - могли бы и положить на диск). Видим руткит. Время от времени повторяем проверки - и снова его видим.
Через какое-то время я убедился, что руткит не особо хитрый, просто поганит файлы, и более ничем не замечателен, и стал искать изменненные файлы по дате - поскольку конструкция примитивная, то дата равна дате модификации руткитом, а для родных файлов она все-таки в прошлом заметно.
Как же я матерился, когда понял, что руткит живет в chkrootkit!
Дальше - проще. Руткит вычистить, запретить логин рутом по ssh, запретить логин по паролю. debsums. Сменить секретный ключ. Вроде все.
Продолжение последовало позже, когда выяснилось, что теперь виндовый комп сетку не видит. Но тоже разгреблось.