Eu tenho um script que, toda vez que a saída do comando "who" muda me envia uma notificação (via um bot de telegrama). Assim, toda vez que um usuário se conecta ou desconecta, eu recebo uma mensagem.
Em intervalos aleatórios (2-3 vezes ao dia) vejo uma conexão do root, sempre com o mesmo ip. A conexão dura alguns segundos. Na mensagem eu também acrescento a saída do ps -aux | grep pts (onde pts é o que eu tenho na saída). Está vazio (talvez porque a conexão dura uma fração de segundo).
Alguma ideia de como eu posso investigar mais? Obrigado
P.S .: Não é uma conexão ssh