De acordo com os links:
"Soa mais como eles entram através do php, depois usam o sshd back-door usando uma biblioteca ruim quando eles têm root. O vetor de ataque inicial não é uma vulnerabilidade no sshd.
Após uma leitura mais aprofundada, o consenso parece ser que o ataque inicial é feito através do cpanel em máquinas mal protegidas. Apenas máquinas de 64 bits obtêm o sshd suportado pelo back, que é feito através de /lib64/libkeyutils.so.1.9, que não deve estar presente no sistema de outra forma. "
Agora, por que a vulnerabilidade baseada em PHP acaba permitindo que o acesso root seja um mistério. Pode ser que o apache estivesse rodando com privilégios de root e, assim, os arquivos PHP também foram executados com acesso semelhante. A menos que você tenha o PHP / Apache rodando com privilégios de root, deve haver algo para se preocupar. Como sugerido, os comandos "rpm -qf /lib/libkeyutils.so.1.9" podem ser usados para ver se você está afetado ou não.