Ничего не сломали, ничего не украли (вроде), а повесили майнер, судя по процессу /bin/dhpcd который работает в 6 потоков и кушает 100% ядра.
Ссылка на скачивание: http://spfng.com/dhpcd
# uname -a
Linux spfng 4.19.0-6-amd64 #1 SMP Debian 4.19.67-2+deb10u1 (2019-09-20) x86_64 GNU/Linux
Я его прибил, в /bin/dhpcd написал bash-записку, чтобы со мной связались. В 00:00 по MSK файл восстановился, процесс снова запустился (пока я спал). Наверное, это просто скриптом всех подряд брутфорсят, а не направленная атака (никому не нужный Джо, ага).
Мне, в общем-то пофиг, это всего-лишь расходник, переустановил ОС и живёшь дальше. У SSH стоит авторизация по ключам. Может быть через exim? Да пофиг. Просто вот что бывает, если «один раз настроил и забыл».
Я знаю, что установи я свой уютненький CRUX, ничего бы такого не случилось. Не даром я не доверяю дистрибутивам типа Debian, CentOS, потому что хрен знает, что там внутрях у него крутится.
Любопытно только, каким образом, как. Такое-то решето!
Переустанавливать систему пока не тороплюсь. Если подскажете, куда копать, чтобы найти уязвимое место — было бы здорово. А нет так нет. Перекачусь на CRUX.