Basicamente, você está ferrado.
Se você fosse realmente explorado, eles poderiam ter adicionado um backdoor no binário SSHD, ou qualquer outro arquivo no sistema ... Já que a fonte está disponível, isso é fácil de fazer, e é extremamente difícil identificar se você não planejou com antecedência.
Se você não tiver o Tripwire ou similar instalado antes que o problema tenha acontecido, você basicamente terá que verificar cada arquivo no sistema em uma instalação de limpeza conhecida.
Mais fácil apenas mover seu aplicativo para um servidor limpo.
A melhor prevenção é um scanner de integridade de arquivos. Basicamente, ele verifica todos os arquivos no sistema e faz um hash dele. Em seguida, periodicamente, ele verifica novamente e notifica você sobre quaisquer alterações. Limpa uma brisa.
Concordo que você provavelmente não foi explorado pelo SSH ... Eu quase nunca vi isso acontecer e, quando isso acontece, geralmente é devido a uma vulnerabilidade não corrigida no daemon. Brute forçando uma senha SSH geralmente é uma causa perdida.
Edit: Eu tenho lido em Osiris esta tarde, e parece muito legal. Ele periodicamente re-scans e envia um e-mail dos arquivos alterados. A versão empresarial do Tripwire oferece checagem em tempo real, mas é claro que você tem que pagar por isso. Existe uma versão de código aberto do Tripwire , que pegou as rédeas do muito mais antigo código fonte aberto, e é bastante sólido também.