Jika saya bisa memberi Anda saran, itu berhenti membuang-buang waktu Anda untuk membersihkan. Buat gambar OS untuk keperluan forensik untuk nanti, dan instal ulang server.
Maaf, tapi ini satu-satunya cara aman untuk menyelesaikan diri Anda dari rootkit.
Nanti Anda dapat memeriksa gambar tersebut, untuk alasan tertentu, mengapa hal itu terjadi.
Dari pengalaman pribadi saya, saya melakukan ini, dan kemudian menemukan pengguna internal yang memiliki kunci SSH yang mengandung kelemahan dari openssl pada tahun 2008.
Saya harap, ini membereskan semuanya.
Catatan:
Jika Anda akan mem-image/mencadangkan server sebelum menginstal ulang, jadilah sangat hati-hati, bagaimana Anda melakukan ini. Seperti yang dikatakan @dfranke, boot dari media tepercaya ke cadangan.
Anda tidak boleh terhubung ke mesin lain dari server yang di-root, karena rootkit yang hebat diketahui dapat menyebar melalui sesi tepercaya seperti SSH.