SSH entra diretamente como root

[tlparolin]

Olá a todos.
Estou com um grande problema em uma máquina ubuntu 10.04 onde trabalho.
Ela possui cerca de 10 usuarios, mas o unico usuario com permissões através do sudo é o meu, também possui um firewall com a porta 22 aberta somente pra rede interna.
Acontece que ontem, atraves de outra maquina da rede, houve um acesso a essa máquina (sei que foi ontem porque quando logo por ssh nela apenas exibe a frase ultimo acesso em....), os logs foram apagados, e quando qualquer usuario acessa por ssh, mesmo não digitando a senha corretamente, ele consegue se logar, e diretamente como root, usando como home o diretorio /usr/include.
Verifiquei arquivos como /etc/passwd /etc/ssh/sshd_config e outros do sistema, inclusive alguns do /etc/pam.d, mas aparentemente estão normais.
Olhei algumas variaveis de ambiente e algumas como a HISTFILE estao apontando para /dev/null...
Pensei se tratar de um script rodando que faria esse tipo de serviço, mas estou sem ideia de onde olhar..
Deixei-a em modo single-user desconectada da rede, sem permitir o uso de ninguém até conseguir resolver isso, mas os trabalhos dos usuários demandam uma certa urgência.
Quem souber de algo, por favor me ajude.

[zekkerj]

Sua máquina, com certeza, foi invadida e alterada.

Minha sugestão é que ela seja totamente reinstalada. Se você deseja rastrear o que aconteceu com ela, substitua o HD atual por outro, limpo.

[tlparolin]

Obrigado por sua resposta caro zekkerj.
Como não estou conseguindo rastrear o ocorrido, vou reinstalar o sistema.
Grato.

[zekkerj]

Lembre-se também de trocar suas senhas, tanto nessa máquina quanto nas outras que você utiliza. Troque também as senhas de serviços online, como gmail, msn, etc.

Senhas fortes têm pelo menos 6 caracteres (idealmente 8 ou mais), e usam combinações de letras minúsculas, maiúsculas, números e símbolos. Evite usar nomes de pessoas conhecidas ou datas de nascimento, pois são fáceis de descobrir. Evite usar também palavras encontras no dicionário.