Я бы предложил немедленно отключить сервер. Сделайте резервную копию всего (когда это случилось со мной, я просто собрал все содержимое моего сервера и загрузил его), затем запустил его через проверку на вирусы, чтобы выяснить, в чем проблема.
Перестройте сервер с нуля. «Но я не знаю, как кто-то изменил пароль ssh root» - это ужасная вещь, и вы этого не хотите. Не пытайтесь «починить» это. Проверьте все пользовательские данные, прежде чем копировать их обратно. Я бы использовал здесь измененную версию ответа о дублировании сервера на SF - проверяя, есть ли какие-нибудь хитрые пользователи. Сравните любые файлы конфигурации с скомпрометированной машины со свежей копией и внесите необходимые изменения вручную.
Хотя многие VPS по умолчанию предоставляют вам учетную запись root, они не защищены должным образом. В идеале я бы отключил корневую учетную запись для ssh и имел бы учетную запись администратора (так настраивает ubuntu по умолчанию) и включил бы аутентификацию на основе ключей, которая была бы обязательной.
Я бы не рекомендовал использовать панель управления, особенно для одноразовой системы. Настройка вещей вручную означает, что вы лучше подготовлены к документированию и восстановлению, если что-то случится.