RKhunter, Tripwire, etc, são ótimos, mas realmente só beneficiam se eles foram instalados antes do incidente - isso ocorre porque eles são ótimos para detectar se os arquivos principais foram alterados. Se você instalar o RKHunter agora e executá-lo, ele detectará a inclusão de muitos rootkits, mas não detectará nenhuma backdoors que um invasor abriu no sistema operacional ou nos aplicativos que você usa.
Por exemplo, você pode entrar furtivamente em um computador, criar um novo usuário, conceder permissões de SSH e sudo e depois limpar, deixando uma configuração de aparência legítima no lugar e sem rootkits - depois volte mais tarde e faça o seu mal.
A melhor coisa a fazer é analisar quais portas têm serviços ouvindo-as, depois analisar a configuração de todos esses serviços e garantir que todos sejam legítimos. Em seguida, observe a configuração do firewall e bloqueie as portas desnecessárias, tanto na entrada quanto na saída. Em seguida, instale o RKHunter, etc, para ver se algum script-kiddie deixou cair um kit raiz lá de maneira confusa.
Para ser franco, provavelmente é menos trabalhoso fazer o que JJ sugeriu e reconstruir do que garantir que o computador não seja comprometido. São os dados que são valiosos, não o sistema operacional e a configuração (além das horas de trabalho na configuração).
Você nunca terá certeza de que não foi quebrado por alguém mais inteligente que você.