Włamanie na serwer VPS

Witam,

Dzisiaj loguję się na serwer po SSH i dostałem info, że ostatnie logowanie było godzinę wcześniej z jakiegoś dziwnego IP.

189.42.184.83

Po sprawdzeniu padło na Brazylię i już wiedziałem, że jakiś intruz dostał się na serwer.

Przeszukałem access.log serwera Apache i zauważyłem, że intruz pod tym IP pojawił się wczoraj o 05:40 i próbował najpierw dziwnych wejść typu http://vps17980.net/~multipasko/, http://vps17980.ovh.net/~multipl/, itd.

moja strona to www.multipasko.pl

W sumie oprócz tych URL żadnych innych akcji nie było.

No i później o 11:22 nagle w auth.log widzę, że jak gdyby nigdy nic faktycznie zalogował się na roota przez SSH !

Oct 5 11:22:25 vps17980 sshd[27333]: reverse mapping checking
getaddrinfo for host83.d.cpe.jetcom.com.br [189.42.184.83] failed –
POSSIBLE BREAK-IN ATTEMPT!
Oct 5 11:22:29 vps17980 sshd[27333]: Accepted password for root from
189.42.184.83 port 3299 ssh2

Zmieniłem hasło roota, wyłączyłem dostęp roota do SSH

No ale zastanawiam się jak zdobył to hasło 🙁