Primeiro de tudo - você precisa assumir que toda a máquina está comprometida. Não conecte-o de volta - reconstrua a coisa toda do zero. Uma razão muito provável é que você não pode ver nada de útil na história do bash, é que algum tipo de rootkit foi usado.
E o problema com os rootkits é que qualquer ferramenta que você usa para encontrá-los pode ser subvertida.
Eles podem ter usado uma instância bash separada, ou seu histórico bash e arquivos de log podem ter sido comprometidos - difícil de ser informado neste estágio.
Dê uma olhada nas perguntas sobre rootkits do Security Stack Exchange para obter mais informações.