A sequência que você descreve parece muito com alguma coisa que foi reconectada a cada vez. Não há como uma conexão sobreviver a uma reinicialização (elas não são armazenadas em disco em qualquer lugar e o RAM é desmarcado), portanto, se esse endereço externo foi conectado novamente após a reinicialização, elas devem ter feito novas conexões no outro lado .
Muitos softwares se reconectarão automaticamente. Se você acredita que o usuário encerrou completamente o seu cliente, então também é possível que um vírus em seu computador esteja conectado, ou talvez esse endereço externo não tenha sido esse usuário específico? Quão seguras são suas senhas?
Se isso acontecer novamente, você poderá verificar os registros de autenticação para ver cada tentativa de login SSH e também poderá alterar a senha do usuário para evitar mais logins.