La mejor manera de investigar esto es reflejar el puerto en el que está el servidor en un puerto diferente y ejecutar una captura de paquetes en un sistema diferente usando una herramienta como wireshark en un cuadro de windows, o tcpdump / snoop si está haciendo la captura en un cuadro de unix / linux. Luego puede examinar la captura de paquetes para intentar averiguar qué está pasando.
Como alternativa, puede apagar el sistema, extraer el disco duro y configurarlo como unidad secundaria en un sistema diferente desde el que puede ejecutar un análisis de virus. Asegúrese de que sea independiente, no en la red, y es algo que puede borrar por completo sin perder nada importante, ya que podría infectarse con la unidad que está escaneando.
Es probable que ninguno de estos dos métodos lo ayude, el problema es que una vez que el sistema está rooteado, es esencialmente imposible restaurar su sistema, incluso si de alguna manera logra que funcione, nunca estará seguro de que la infección esté ido. También puede llevar mucho tiempo y esfuerzo hacer, con el fracaso como el resultado probable. Lo mejor que puede hacer es copiar los datos esenciales y los archivos de configuración, borrar completamente el sistema y reconstruirlo desde cero, ya que es la única manera de estar seguro.