Você foi comprometido e o atacante parece estar executando um bot de varredura ssh contra hosts externos.
A solução é sua, mas suspeito que você precisará reconstruir o servidor após recuperar todos os dados importantes.
O cliente me ligou porque não pode acessar o aplicativo. Então faça o login no sistema e surpreenda! Não consigo executar os comandos ps, ls e netstat e o postgresql está inativo. Esses arquivos têm outros proprietários.
As últimas linhas no dmesg são como:
[21461.249801] ssh-scan[11199]: segfault at 0 ip 0000000008048e33 sp 00000000ffd12d10 error 4 in ssh-scan[8048000+c0000]
Qual poderia ser o problema? E a solução?
O SO: Ubuntu Server 12.04LTS x64