Da wird wohl jemand die Befehle ausgetauscht haben. Guck dir mal alles, was mit ssh zu tun hat an bzw such dir die Originalen Dateien von deinem System und ersetz die alten durch die Originale. Hatten wir in der Firma auch schon ab und an mal sowas. Das Blöde bei uns war, dass selbst Befehle wie cp, less, ssh usw komplett gecrackt waren.
Achja, guck noch bissl rum, ob nicht unter /home, /tmp oder /var irgendwelche Verzeichnisse angelegt wurden, die Scripte beinhalten, mit denen jemand auf den Server zugreifen kann.