Si je peux vous donner un conseil, c'est d'arrêter de perdre votre temps à nettoyer. Créez une image du système d'exploitation pour les éléments médico-légaux pour plus tard, et réinstallez simplement le serveur.
Désolé, mais c'est le seul moyen sûr de ne pas être rootkité.
Plus tard, vous pouvez vérifier l'image, pour certaines raisons, pourquoi cela s'est produit.
D'après ma propre expérience personnelle, j'ai fait cela et j'ai trouvé plus tard un utilisateur interne qui avait une clé SSH contenant la faille d'openssl en 2008.
J'espère que cela clarifie les choses.
Remarque :
Si vous envisagez d'imager/sauvegarder le serveur avant de le réinstaller, soyez très attention, comment vous faites cela. Comme @dfranke l'a dit, démarrez à partir d'un support de confiance pour sauvegarder.
Vous ne devez pas vous connecter à d'autres machines à partir d'un serveur rooté, car les super rootkits sont connus pour pouvoir se propager via des sessions de confiance telles que SSH.