[ml] phpshell e accesso ssh

Ciao a tutti,
vi pongo una domanda siccome mi trovo in una situazione un po' strana.
Ho per le mani una macchina (mail e web server, linux red hat 8) che è
stata bucata.

Davanti c'è un pix, nuovo, che impedisce connessioni ssh verso questa
macchina da fuori; sono ragionevolmente sicuro che il pix sia a posto
(io dall'esterno non trovo la 22 aperta).

C'è un utente, temp, che si è fatto una sua directory ftp in cui ha
caricato phpshell in numerose copie. Ovviamente non è un account creato
da chi amministrava questa macchina.

Se guardo chi si è loggato con last trovo entry tipo queste:

temp     pts/0        62.117.114.180   Mon Jan 23 00:40 - 00:40  (00:00)
temp     pts/0        148.208.149.21   Sun Jan 22 22:37 - 22:37  (00:00)

e inoltre nei log (/var/log/secure) trovo varie tipo questo:

Jan 26 20:02:46 <MIOSERVER> sshd[28199]: Accepted password for temp from
211.63.252.38 port 38925 ssh2

Come è possibile?
Centra qualcosa phpshell?
Se ho capito bene, phpshell viene chiamata tramite apache. Ho cercato un
qualche virtual host strano che la riguardasse o relativo alla directory
di temp, ma non ne ho trovati.
Qualcuno di voi mi chiarisce cosa sta succedendo su quella macchina?
Spero di aver fornito informazioni sufficienti, altrimenti scusatemi,
chiedete e sarò più chiaro.

Grazie di tutto,
Marco