Quando você está enraizado (e parece que tem sido), a prática recomendada é reinstalar o SO e cuidadosamente restaurar os dados dos backups. Se for um sistema importante, eu o desconectaria da rede imediatamente.
Se o servidor não for tão importante, pode ser educativo gastar tempo tentando rastrear a causa raiz, para que você possa tomar medidas para evitar que isso aconteça novamente. No entanto, você precisa estar muito familiarizado com as ferramentas do SO e do Unix para fazer isso.
Você pode gastar muito tempo tentando higienizar seu sistema, mas sem realizar uma nova instalação de um novo sistema operacional, nunca poderá ter 100% de certeza de que todos os binários e / ou scripts maliciosos foram removidos.
O software antivírus está disponível para Linux de fornecedores como a McAfee, mas nunca conheci ninguém para usá-lo - presumivelmente, ele é usado em situações em que uma política corporativa exige o uso de software antivírus.
Editar : No futuro, eu instalaria o rkhunter (Rootkit Hunter), uma ferramenta que procura por rootkits, backdoors e várias outras explorações. Ele deve ser instalado em um sistema limpo com um cron noturno para varrer os binários do sistema em busca de diferenças - e avisar se algum foi encontrado. Com um sistema CentOS, ele também pode ser configurado para usar a verificação inerente ao RPM e considero um complemento útil para executar rpm -Va para verificar todos os arquivos instalados pelo gerenciador de pacotes RPM.