Wenn ich Ihnen einen Rat geben kann, dann hören Sie auf, Ihre Zeit mit dem Aufräumen zu verschwenden. Erstellen Sie für spätere forensische Zwecke ein Image des Betriebssystems und installieren Sie den Server einfach neu.
Tut mir leid, aber das ist der einzig sichere Weg, das Rootkit zu vermeiden.
Später können Sie das Bild aus bestimmten Gründen überprüfen, warum es passiert ist.
Aus meiner eigenen persönlichen Erfahrung habe ich dies getan und später einen internen Benutzer gefunden, der einen SSH-Schlüssel hatte, der den Fehler von openssl im Jahr 2008 enthielt.
Ich hoffe, es klärt die Dinge auf.
Hinweis:
Wenn Sie vor der Neuinstallation ein Image/Backup des Servers erstellen, seien Sie sehr Vorsicht, wie du das machst. Wie @dfranke sagte, booten Sie von einem vertrauenswürdigen Medium zum Sichern.
Sie sollten sich von einem gerooteten Server nicht mit anderen Computern verbinden, da großartige Rootkits bekanntermaßen in der Lage sind, sich über vertrauenswürdige Sitzungen wie SSH zu verbreiten.