Ну видимо "сложный 14-сивмольный пароль буквы-цифры-регистр, настроен fail2ban на бан по неуспешным аут-циям" не помогло.
Руту на ssh заходить - не нужно (и это по дефолту запрещено). Разлочив вход руту на ssh вы на много порядков упростили задачу взлома.
ssh на дефолтовом порту начинают атаковать в первые часы поднятия сервера в интернете (по моему опыту) то же самое с попытками взлома HTTP сервера. В сети работает просто немерянное количество сетей для взлома, от любительских, до вполне профессиональных (порой даже связанных с правительствами некоторых стран....)
Если вы уже обнаружили следы проникновения (то что сами явно никогда не делали), то правильным будет снести сервер и проставить его с нуля или поднять из бекапа (на тот момент когда вы уверены что не было проникновения).
И первым делом (это почти как заклинание от сглаза
- нужно проделывать всегда быстро после выставления сервера на белом IP, а лучше до выставления):
1. ssh сносим на нестандартный порт.
2. Создаем привилегированного пользователя (с правом на sudo) - и на ssh заходим только им (руту вход запретить).
Или как вариант для п. 2 - настроит аутентификацию по ключам и по login/password вообще закрыть доступ.