Você não tem garantia de que os programas foram armazenados somente em /tmp
e /var/tmp
. Eu os colocaria lá, já que é menos provável que um timestamp de diretório seja detectado lá, mas isso não impede colocar executáveis em algum outro lugar.
Reinstalar o sistema desde o início - incluindo a versão do jboss sem as vulnerabilidades antes de entrar na rede - é, na minha experiência - felizmente pouco - a única maneira de lidar com intrusões.