Se a segurança é uma preocupação real para você, recomendo que você gaste muito mais tempo na configuração e menos tempo na execução do rkhunter e do clamav. Seu servidor pode ser comprometido de várias maneiras, sem nunca envolver um rootkit ou um vírus.
A funcionalidade do rootkit ainda é bastante rara. Criminosos hoje em dia querem colocar seu conteúdo em seu servidor web para que eles possam usá-lo para servir explorações, influenciar rankings de páginas e executar zumbis. Eles não precisam desenvolver um rootkit para fazer isso.
Faça netstat -an | grep LISTEN
. Cada uma dessas portas de escuta é uma maneira em potencial e algumas podem ter milhões de linhas de código em execução. Sua maior preocupação é provavelmente o servidor web, todos os módulos que ele carregou e o código personalizado que você instalou no topo ... como esse wiki ou sua interface de webmail.
Se possível, restrinja os endereços IP que podem fazer conexões com seus serviços. Casos onde isso não é possível, use autenticação para evitar que pessoas mal-intencionadas tentem acessar, digamos. seu webmail.
Há muito mais opções para você, mas precisaremos de uma descrição completa de sua configuração para fazer recomendações específicas.
Saiba que o rkhunter e o clamav não fazem nada para melhorar a segurança do seu servidor. Pode-se argumentar que é apenas mais código com possíveis bugs de segurança.