"ESTABLISHED" significa apenas que a conexão é estabelecida na camada TCP; não lhe diz muito sobre se eles autenticaram. A sequência geral é:
- A conexão TCP do cliente (/ atacante) para o servidor é estabelecida
- Tentativas do cliente para autenticar
- Se o cliente tiver êxito na autenticação, o cliente faz ... algo sobre a conexão. A conexão TCP permanece "ESTABLISHED" até que eles se desconectem.
- Se o cliente não conseguir autenticar (geralmente após 3 tentativas), o servidor descartará a conexão.
Se alguém estiver executando um ataque de adivinhação de senha contra você e você verificar enquanto ele está tentando senhas, verá uma conexão "ESTABLISHED". Se eles não atrasarem entre as tentativas (ou seja, assim que uma tentativa de conexão falhar, reconecte e tente novamente), então você sempre verá uma conexão "ESTABLISHED".
Por outro lado, se você perceber que a mesma conexão permanece ativa por algum tempo (ou seja, os mesmos números remotos de IP e porta, em vez de alterar continuamente os números das portas), então alguém entrou ou está esperando por um muito tempo entre adivinhações de senha. Nesse caso, você deve se preocupar.
Mas se você realmente quiser saber o que está acontecendo, verifique os registros! (Como Ipor Sircer disse em um comentário.) A menos que um invasor os tenha limpado, eles serão muito mais informativos do que apenas olhar para conexões TCP.
Além disso, como você está sob ataque (o que é automático, já que você tem ssh exposto na internet), certifique-se de que o serviço ssh esteja devidamente bloqueado ! Desative o login root, limite os usuários que podem efetuar login, certifique-se de usar senhas difíceis de adivinhar e (se possível) desative as senhas em favor da autenticação de chave pública.