O sshd é o daemon de ssh . É o final receptivo de uma sessão (freqüentemente) remota. Assim, o usuário ou o aplicativo que está se comunicando com o sshd estará comandando o comando bash .
Por exemplo quando eu ssh no meu servidor com ssh root@server , recebo um prompt bash e quando digito pstree -pa , recebo (excerto):
├─sshd,789 -D
│ ├─sshd,9306
│ │ └─bash,9488
│ │ └─pstree,9547 -pa
Portanto, pode não haver código que esteja usando o comando bash em um arquivo em seu sistema. No entanto, posso olhar em /var/log/auth.log (como @slm indica no CentOS esta informação é normalmente /var/log/secure ) e veja:
Feb 19 05:37:38 owl sshd[9558]: Accepted publickey for root from 192.168.0.101 port 52628 ssh2
Feb 19 05:37:38 owl sshd[9558]: pam_unix(sshd:session): session opened for user root by (uid=0)
Qual é o endereço IP da máquina em que a conexão ssh se originou.