hvc0 é o console serial xen, ou seja, o falso console tipo serial emulando um console serial conectado diretamente ao antigo servidor que você tem em um servidor físico. Depende do seu provedor de VPS se eles expõem ou não esse console a você, talvez por meio de uma interface da web. Se o fizerem, dê uma olhada lá e você encontrará root logado, e pode sair. Se não era você, e a história parece estranha, então talvez alguém tenha conseguido entrar na interface da web, acessar o console e adivinhar a senha do root (o que é improvável, mas é uma coisa ruim; pode-se considerar também a servidor comprometido e na necessidade de uma reconstrução, se este for o caso)
Também é possivelmente o provedor de hospedagem VPS, mas como você diz "VPS não gerenciado", eles não devem ter a senha de root.