As características apresentadas são um escopo geral de como você pode identificar ou partir para uma análise caso seu servidor comece a se comportar de forma estranha, como segue:

• As aplicações instaladas no servidor de repente começam a não responder de forma esperada, ou seja, problemas incomuns e um ambiente considerado estável
• Contas de usuários adicionais que você não consegue visualizar (elas podem ter sido feitas para parecer com contas do sistema)
• Novos arquivos ou diretórios com nomes incomuns, por exemplo ‘…’, ‘.qualquercoisa’ etc
• Tráfego de rede acima do comum e que não podem ser atribuidas a um processo em particular
• Você recebe um email de um departamento de segurança dizendo que seu servidor foi detectado em estar fazendo port scan ou enviando tráfego de rede malicioso para determinado site
• O servidor está rodando significativamente lento e alto consumo de processamento.

Esses são os pontos principais, onde, pode haver um ou até mesmo todos os sintomas listados acima, mas não limitado a esses.

Link relacionado

Nesse Blog, do meu amigo Luciano, tem uma análise completa de um host comprometido e detalhamento do que foi feito para identificar e combater. Obrigado pela contribuição Luciano!

• http://lucianoborguetti.blogspot.com/2009/06/possible-t0rn-v8-or-variation-rootkit.html

Comente caso você tenha uma outra característica!