Это кажется, что Вы на правильном пути думаете, что это могло компромиссом - особенно, если оба сервера имеют те же пользовательские учетные записи/пароли.
Первая вещь, которую я сделал бы, выполняется chkrootkit или rkhunter, и посмотрите, находят ли они что-нибудь. (не уверенный, если они будут работать, если установлено после того, как компромисс уже произошел или не),
Вторая вещь состояла бы в том, чтобы включить удаленный вход и выяснить точно, что сразу произошло до перезагрузки.
Третье предложение могло бы быть должно установить munin или что-то подобное для отслеживания CPU/использования памяти до перезагрузки.
Ваш поставщик блокирует трафик для портирования 25 мест назначения?
Могут Вы для выполнения тех же тестов telnet другим smtp местам назначения от самой машины?