勘違いしてた
どうも攻撃をうけているようだったので、/var/log/secureをみたところ
sshにアタックして失敗していることを確認しました。
lastコマンドで確認しても、不正ログインされた形跡はなかったので安心しましたが
netstat -a | grep sshをすると、sshアタックをしていたIPアドレスの
ssh通信がESTABLISHEDになっていました。
これを見て、最初はsshを乗っ取られたと思いました。
しかしこれは勘違いでした 
lastbコマンドは失敗したログインの情報を見るコマンドですが、これを見ると
aとかbとか、testとか、ありがちないろんなユーザでsshログインを試みて
いました。
いわゆるブルートフォースアタックというやつですが、僕のつくったユーザ名は
辞書にのっているようなものではないので、ブルートフォースアタックでやぶられる
はずがないなぁと思い、試しに、hydraというツールで実験的にsshブルートフォースアタックを
かけてみました。
すると、すべてログインに失敗しましたが、netstat -a | grep sshで確認すると
ssh通信はESTABLISHEDになっていました。
まだまだわかってないなぁと反省しました。。。
hydra検証内容
- user辞書を作成
$ cat user_list_10.txt
administrator
anonymous
corporatename
yamada
email
guest
root
testuser
uniqueid
user
- password辞書を作成
$ cat pass_list_10.txt
1234
address
adminpass
password
rootpass
qwerty
testtest
zipcode
abcde
pass1
- hydraをインストールし、実行
$ hydra -l user_list_10.txt -P pass_list_10.txt 攻撃対象hostのアドレス ssh
- 攻撃対象host上で確認
$ netstat -a |grep ssh