A conexão TCP estabelecida é provavelmente uma tentativa de autenticação, o que não significa que a autenticação foi bem-sucedida. É provavelmente apenas um ruído, mas é claro, você deve verificar os PIDs como proposto no comentário, se o processo sshd
estiver no modo [preauth]
ou [postauth]
- deve estar visível em% normalps
.