Laclos Oui, ça c'est assez louche et pourrait expliquer des choses. ps x | grep sshd
sort quoi ? Regarde aussi si ss -l -p -n | grep ",PID,"
donne quelque chose (tu récupères le PID de ce process), et fais un strings /usr/bin/.sshd
aussi pour voir ce qu'il y a dedans. Un strace
peut être intéressant aussi.
Pour t'en débarasser, un kill -9 PID && shred -zvu -n 50 /usr/bin/.sshd
mais attends d'autres avis avant de faire quoique ce soit, essaie déjà les manips en haut pour en savoir plus.
Enfin de toute façon, la machine a été compromise, dès lors il vaut mieux recommencer à 0. Tu as perdu cette bataille mais tu retiendras la leçon !
EDIT : C'est aussi possible pour shipyard
, ce genre de chose exposé et mal sécurisé ne pardonne pas malheureusement.