Har jag blivit hackad eller är de virus?

Baserat på klassificeringarna så ser det ut som att du fått in en miner. Du vill inte länka till samplet?

Exponerar du SSH? Sätt upp certifikatsautentisering, alternativt stäng av root-login och använd ett personligt konto istället, med ett starkt lösenord.

Du har minst en crypto miner på den. Så ja den är infekterad.

Såvida du inte självmant lagt in den dvs.

Han har använt virustotal, han kan ge dig länken till resultaten etc så kan du ge oss den.

Nä troligen inte men ändåonödigt att fortsätta betala för att dra in pengar åt någon annan.

Skulle blåsa hela vmen och läsa in nån backup efteråt.

Svårt att säga exakt hur det gått till, men har du installerat dina paket via pakethanteraren och inte från någon framgooglad rysk sida så skulle min starka gissning vara någon applikation som är exponerad ut mot internet. Antingen med någon form av sårbarhet eller en klen inloggning som gissats fram. Jag har själv lyckats med bedriften att exponera en Elastic Search-installation med standardkonfiguration på en VM som efter några dagar också utnämnde sig själv till någon form av miner.

Återställer du rätt av backup så känns det ganska sannolikt att samma sak kommer ske igen om du inte gör någon förändring och listar ut hur detta skedde. Ta SSH som exempel; du säger att det bara är låst till din brors IP-adress, men hur? Via brandvägg? I själva SSH-konfigurationen? Frågar du någon utifrån om dom kan nå din server via SSH, är svaret nej? Så fort SSH-tjänsten körs och porten exponeras ut mot internet så påbörjas inloggningsförsök mot din maskin från datorer över hela världen. Använder man inte nycklar för inloggning och har ett för vanligt användarnamn och enkelt lösenord så är det en tidsfråga innan man får oväntat besök.

Jag personligen hade gjort en helt ren installation och långsamt börja sätta upp tjänst för tjänst igen. Se till att det finns en brandvägg installerad (det är ingen aktiverad som default i en serverinstallation av Debian) som blockerar all inkommande trafik som standard och öppna bara långsamt upp det som behövs.

Har du kvar någon backup av maskinen med minern installerad/körandes? Det hade kunnat hjälpt och se vilken användare som den kördes som för att lista ut hur den uppstod.

Minns du vilken användare, var det som din egen? Igen, det är väldigt svårt för någon att veta hur det gått till utan att ha koll på hur router/brandvägg/server är konfigurerad. Om det är en vanlig Debian-installation med paket installerade från deras officiella paketförråd och du inte exponerar någon tjänst ut mot internet alls så ska det väldigt mycket till för att detta ska kunna hända. Så det är något som inte stämmer helt.

Exponeras på sätt att vem som helst kan komma åt den från vart som helst bara dom vet anv/lösen (eller exploit)?

Finns en del som verkar råkat ut för något liknande. Kanske följande externa forum kan ge dig en ledtråd till något (trots att de är ett par år gamla)?

https://github.com/tteck/Proxmox/discussions/1720
https://forum.qbittorrent.org/viewtopic.php?t=10979

Fortfarande gissningar härifrån, men då låter som det som åtkomst via SSH eller om du kör qbittorrent som den användaren och det är någon sårbarhet i webbgränssnittet. Men du skriver i ditt första inlägg att man behöver använda VPN för att nå dessa, men det går inte riktigt ihop om någon elakt datorprogram kan nå dina tjänster utifrån. Så det är väl där jag skulle börja undersöka för det låter inte som önskat beteende i så fall.

Om du kikar journalen för ssh-tjänsten, ser du att det görs inloggningsförsök från okända IP-adresser konstant mot din maskin?

root@dinserver:~# journalctl -u ssh -f

Kan se ut så här, exempel från min server:

May 17 02:15:00 minserver sshd-session[182726]: Connection from 218.92.xx.xx port 23027 on 37.46.xx.xx port 22 rdomain ""
May 17 02:15:01 minserver sshd-session[182726]: User root from 218.92.xx.xx not allowed because none of user's groups are listed in AllowGroups
May 17 02:15:01 minserver sshd-session[182726]: Received disconnect from 218.92.xx.xx port 23027:11:  [preauth]
May 17 02:15:01 minserver sshd-session[182726]: Disconnected from invalid user root 218.92.xx.xx port 23027 [preauth]

Växeln -f för journalctl gör att den följer loggen, dvs visar nytt innehåll på skärmen när det dyker upp.

Du kanske även borde dölja/klippa bort sista raden i bilden?

Har bilden ändrats?
Det finns ingen känslig IP-adress på bilden som det ser ut just nu ( https://ibb.co/chByGpyK ).