Pokud vám mohu dát nějakou radu, je to přestat ztrácet čas uklízením. Vytvořte image operačního systému pro forenzní věci na později a jednoduše přeinstalujte server.
Je nám líto, ale je to jediný bezpečný způsob, jak se zbavit toho, že jste rootkitted.
Později můžete obrázek z určitých důvodů zkontrolovat, proč se to stalo.
Z vlastní osobní zkušenosti jsem to udělal a později jsem v roce 2008 našel interního uživatele, který měl SSH klíč obsahující chybu openssl.
Doufám, že to vyjasní věci.
Poznámka:
Pokud se chystáte vytvořit bitovou kopii/zálohu serveru před přeinstalací, buďte velmi pozor, jak to děláš. Jak řekl @dfranke, zaveďte systém z důvěryhodného média do zálohy.
Neměli byste se připojovat k jiným počítačům z kořenového serveru, protože je známo, že skvělé rootkity se mohou šířit prostřednictvím důvěryhodných relací, jako je SSH.