Si puedo darte algún consejo, es que dejes de perder el tiempo limpiando. Cree una imagen del sistema operativo para fines forenses y vuelva a instalar el servidor.
Lo sentimos, pero es la única forma segura de evitar que te pirateen.
Más tarde puede comprobar la imagen, por determinadas razones, por qué sucedió.
Desde mi propia experiencia personal, hice esto y luego encontré un usuario interno que tenía una clave SSH que contenía la falla de openssl en 2008.
Espero que aclare las cosas.
Si va a crear una imagen/copia de seguridad del servidor antes de volver a instalarlo, sea muy cuidado, como haces esto. Como dijo @dfranke, inicie desde un medio confiable para hacer una copia de seguridad.
No debe conectarse a otras máquinas desde un servidor rooteado, ya que se sabe que los grandes rootkits pueden propagarse a través de sesiones confiables como SSH.