求助：chkrootkit 时发现wted deletion

Hadi

发现 http, ftp, ssh 都无法访问，于是机房那边立即去处理了一下（实际就是重启），过了一会能访问了，chkrootkit 发现有一条 wted deletion，标记的时间段正好差不多是重启的时间，sockstat  和  netstat  似乎没有可疑的端口（说似乎是因为我很菜），侥幸地认为是由于将UTC更改到CST引起的，想做进一步检查时，又突然不能访问，告知机房，于是那边又立即重启，这次等待了一个多小时才能访问（正好是饭点，还以为那位老兄晃出去吃完饭才处理的，后来看了日志才知道误会了），再次 chkrootkit 发现又有一条 wted deletion ，时间正是不能访问的那段时间，而且刚登陆没一会，再次断开，于是极度怀疑被入侵。刚准备预约去机房，那边通知机房出现严重问题，正在修复，具体问题没说。

问题：
1.两次出现 wted deletion ，我觉得被入侵的可能性还是很大的，可是机房那边肯定是硬重启，有可能硬启之前就知道然后消除日志吗，还是我根本就傻哩吧唧搞错了方向？
2.是不是有可能同机房几台机子被黑，或者 arp 欺骗之类的情况？
3.无法访问期间，用 nmap 扫描了端口，发现全部是关闭的，是不是因为“那位”觉得这是个好肉机，所以加强了安全措施，或者干脆就设定防火墙只允许他的 ip 访问之类的？当然访问正常的时候，几个端口都是打开没问题的。

请大家帮忙分析，抱歉可提供的资料很少，事出突然，我也很菜，多包涵，谢谢指教。