Ами принципно може да затриеш SSH сървара, ръчно затрий libkeyutils библиотеката и с find де що я има. Разгледай за странни неща във /var/tmp, tmp, home и датите на промените по файлове. Кофтито е, че веднъж компрометирана система може да е инсталирано какво ли не, да са модифицирани библиотеки, инструменти и т.н. и изхващането става сложно. Гледай за странни процеси, но не със стандарните ls, top И т.н. инструменти, а с нещо, което го е нямало до сега като например htop. За това е добре да преинсталираш
Смени си и паролите и виж с tcpdump дали не заминава на някъде нещо при логване със клиент-а.