No existe una forma fácil de "limpiar" un servidor comprometido, lo recomendable es formatear el servidor y recuperar la data desde backups limpios

El atacante puedo haber alterado archivos del sistema y será muy difícil (si no usas herramientas de auditoria) determinar exactamente que fue modificado

Como medida inmediata deberías bloquear las conexiones salientes (puertos 22, 23, etc) para evitar seguir atacando a terceros y plantearte una rápida restauración del sistema.