何かアドバイスできるとしたら、後片付けの時間を無駄にするのはやめましょう。後でフォレンジック用に OS のイメージを作成し、サーバーを再インストールするだけです。
申し訳ありませんが、ルートキット化されないようにするには、これが唯一の安全な方法です。
後で、特定の理由、なぜそれが起こったのか、画像を確認できます。
私自身の個人的な経験から、これを行った後、2008 年に openssl の欠陥を含む SSH キーを持っている内部ユーザーを見つけました。
うまくいけば、問題は解決します.
注:
再インストールする前にサーバーのイメージ/バックアップを作成する場合は、非常に 注意してください、これを行う方法。 @dfranke が言ったように、信頼できるメディアから起動してバックアップします。
強力なルートキットは SSH などの信頼できるセッションを介して拡散できることが知られているため、ルート化されたサーバーから他のマシンに接続しないでください。