Se posso darti un consiglio, è di smetterla di perdere tempo a pulire. Crea un'immagine del sistema operativo per materiale forense per dopo e reinstalla semplicemente il server.
Siamo spiacenti, ma è l'unico modo sicuro per evitare di essere rootkit.
Successivamente puoi controllare l'immagine, per determinati motivi, perché è successo.
In base alla mia esperienza personale, l'ho fatto e in seguito ho trovato un utente interno che aveva una chiave SSH contenente il difetto di openssl nel 2008.
Spero che chiarisca le cose.
Nota:
Se hai intenzione di creare un'immagine/backup del server prima di reinstallarlo, sii molto attento, come lo fai. Come ha detto @dfranke, avvia da un supporto attendibile per eseguire il backup.
Non dovresti connetterti ad altre macchine da un server rooted, poiché è noto che grandi rootkit sono in grado di diffondersi attraverso sessioni attendibili come SSH.