Il modo migliore per indagare su questo è il mirror della porta su cui il server si trova su una porta diversa ed eseguire un'acquisizione di pacchetti su un sistema diverso usando uno strumento come wireshark su una finestra di windows, o tcpdump / snoop se stai facendo l'acquisizione su un box unix / linux. È quindi possibile esaminare l'acquisizione del pacchetto per cercare di capire cosa sta succedendo.
In alternativa è possibile spegnere il sistema, estrarre il disco rigido e configurarlo come unità secondaria su un sistema diverso da cui è possibile eseguire una scansione anti-virus. Assicurati che sia indipendente, non sulla rete, ed è qualcosa che puoi cancellare completamente senza perdere nulla di importante è che potrebbe essere infettato dall'unità che stai scannerizzando.
Tuttavia, nessuno di questi due metodi è in grado di aiutarti, il problema è che una volta che un sistema è stato rootato è essenzialmente impossibile ripristinare il sistema, anche se in qualche modo riesci a farlo funzionare non sarai mai certo che l'infezione sia andato. Può anche richiedere enormi quantità di tempo e sforzi per fare, con il fallimento come il risultato probabile. La cosa migliore che puoi fare è copiare i dati essenziali e i file di configurazione, cancellare completamente il sistema e ricostruirlo da zero in quanto è l'unico modo per essere sicuro.