>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.

Обычно в таких случаях делается бэкап конфигов и нужных данных и система переустанавливается с нуля. Потому как, помимо вредного ПО (чаще для организаций DDoS- и DoS-атак), заменяется куча стандартного ПО сервера, на версии, содержащие бэкдоры.
yum verify запустите и посмотрите лог на предмет checksum mismatch у бинарников...