Considere OSSSEC HIDS ou algum outro sistema IDS / IPS em sua rede ou uma nova reinstalação do servidor.
A menos que você tenha um bom rkhunter scan ou similar para basear uma comparação, tentar determinar se você tem um root é quase impossível sem monitorar tráfego em sua rede e tal para determinar intrusões (e isso seria Snort ou OSSSEC HIDS como os comentários dizem). Em seguida, assistir aos eventos de saída que disparam lhe dará uma idéia se houver malware ou kits raiz e tentar fazer o ping para outro lugar.
Se você suspeitar de um kit raiz, talvez queira começar de novo, mas se esse servidor for crítico para todos os processos de trabalho, será necessário considerar quais outros problemas podem existir e se o custo de uma possível falha ou quebra de segurança não é aceitável para você ou para a organização, versus o custo do tempo de inatividade enquanto você reinstala o servidor, reinstala serviços, coloca os dados de volta, etc.