¿Cómo podría un usuario iniciar session a través de tty?

Alquilé este server en la nube, y fue atacado recientemente. Puedo ver a un usuario sospechoso conectado a través de tty.

leetom@S152:~$ last -x ayn1 ayn1 tty1 Wed Oct 28 18:59 - 19:01 (00:02) ayn1 tty1 Wed Oct 28 18:55 - 18:59 (00:03) 

Por lo que yo sé, si mi server está agrietado, el usuario solo podría iniciar session a través de pts (ssh u otra cosa), y la dirección IP debería registrarse. Por lo tanto, creo que la máquina host del proveedor del service podría estar rajada y este usuario sospechoso podría iniciar session a través del host. ¿Es eso posible? (Por supuesto que no lo admiten).

Por cierto, puedo ver el command root@(none):/# useradd -o -u 0 -g 0 -M -d /root -s /bin/bash ayn1 desde su console web, pero no sé cómo implementan la console web.

actualizar

Esto sucedió de nuevo, y encontré este logging:

 Nov 1 17:31:36 S152 login[21780]: pam_unix(login:auth): check pass; user unknown Nov 1 17:31:36 S152 login[21780]: pam_unix(login:auth): authentication failure; logname=ayn1 uid=0 euid=0 tty=/dev/tty1 ruser= rhost= Nov 1 17:31:39 S152 login[21780]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure Nov 1 17:33:21 S152 sshd[804]: Received signal 15; terminating. Nov 1 17:33:21 S152 sshd[1039]: Server listening on 0.0.0.0 port 22. Nov 1 17:33:21 S152 sshd[1039]: Server listening on :: port 22. Nov 1 17:33:45 S152 login[1563]: pam_unix(login:auth): check pass; user unknown Nov 1 17:33:45 S152 login[1563]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= Nov 1 17:33:49 S152 login[1563]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure Nov 1 17:34:00 S152 login[1563]: pam_unix(login:session): session opened for user yan1 by LOGIN(uid=0) Nov 1 17:34:00 S152 login[2054]: ROOT LOGIN on '/dev/tty1' Nov 1 17:34:53 S152 login[1563]: pam_unix(login:session): session closed for user yan1 

Solutions Collecting From Web of "¿Cómo podría un usuario iniciar session a través de tty?"