Lembre-se que se você tem certeza de que o sistema foi comprometido você não pode confiar no software instalado ou em qualquer informação retornada por ele. Aplicações podem ser alteradas, módulos do kernel podem ser instalados e etc.

A melhor coisa a se fazer é uma cópia de backup completa do sistema de arquivo (usando o dd) depois de inicializar o sistema de uma mídia segura. Os CDROMs do Debian GNU/Linux podem ser utilizados para isto, já que eles fornecem um shell no console 2 quando a instalação é iniciada (acesse através do Alt+2 e pressione Enter). Do shell, efetue o backup das informações para outro host se possível (talvez um servidor de arquivos de rede através de NFS/FTP). Então qualquer análise da invasão ou reinstalação pode ser feita enquanto o sistema comprometido está off-line.

Se você tiver certeza de que um módulo do kernel com trojan comprometeu o sistema, você pode usar a imagem do kernel do CDROM do Debian no modo rescue. Inicie o GNU/Linux no modo single user para que nenhum outro processo com trojan seja executado depois do kernel.