クラックされてしまったこと自体は非常に気の毒だが、クラッカーの意図はともかく

• バックドアポートへのアクセスはフィルタリングされていた

というのは非常にポイントが高い。
フィルタのログが残っていれば、そこに残っているIPアドレスからの追跡が可能になる。もっともこれにも条件があって、

• フィルタは他のルータなどの機器で実施されている
• ログはクラックされたマシンとは別のものに取得されている

というあたりだが。
chroot環境のみ荒らされたとのことだが、改ざんされていないことが明らかでない以上は、クラックされたマシンに残っている情報のみを頼りにするのは危険だろう。
もちろん、

• そこまでに踏み台にされているマシンがない

という前提だが…。