hoi alterego,
ik raad aan dat je de machine in kwestie scanned met nmap en met nessus (
http://www.nessus.org).
Aan de hand van deze resultaten kan je kijken wat er aan de hand is met je server.
Verder zou ik een tooltje genaamd chkrootkit (zoals eerder aangegeven) draaien www.chkrootkit.org.
proftpd heeft een lange geschiedenis van beveiligingsgaten.
Ik ken vsftp niet, maar als je een FTPd zoekt met voldoende opties en veiligheid e.d. zou ik kijken naar pureftpd
http://www.pureftpd.org
Ook ben ik .xpl tegengekomen /var/tmp en waren counterstrike aan het spelen.
Indien de aanvaller dit had geinstalleerd zou ik gaan kijken in de logbestanden van de server.
--Daan