Är min server hackad? (Ubuntu)

Hej, jag har en Ubuntu 6.10 server hemma som jag kan ssh:a till utifrån.
När jag skriver "uptime" så står det 2 users trots att jag är utloggad på den fysiska maskinen och endast inloggad en gång med putty.
När jag sedan skriver "users" så får jag upp mitt användarnamn en gång. (Har provat logga in med flera instanser samtidigt och då visas samma användarnamn lika många gånger som jag har instanser inloggade)

Frågan är nu, vem är den user sista usern?
Kan det vara så att någon kommit in på något sätt till servern eller kan det vara någon tjänst som agerar som användare?
(Använder servern som samba server och brukar ha "screen rtorrent" igång 24/7.

08:56:41 up 11:37, 2 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
username pts/1 domain.se 08:55 0.00s 0.11s 0.00s w

Så står det när jag kör "w".
det står 2 users men endast en visas.

Hittade detta i loggen:
Verkar som att något händer varje timme (xx:17:01).

Jan 23 00:17:01 serv2400 CRON[4790]: (pam_unix) session opened for user root by (uid=0)
Jan 23 00:17:01 serv2400 CRON[4790]: (pam_unix) session closed for user root
Jan 23 01:17:01 serv2400 CRON[4820]: (pam_unix) session opened for user root by (uid=0)
Jan 23 01:17:01 serv2400 CRON[4820]: (pam_unix) session closed for user root
Jan 23 02:17:01 serv2400 CRON[4850]: (pam_unix) session opened for user root by (uid=0)
Jan 23 02:17:01 serv2400 CRON[4850]: (pam_unix) session closed for user root
Jan 23 03:17:01 serv2400 CRON[4886]: (pam_unix) session opened for user root by (uid=0)
Jan 23 03:17:01 serv2400 CRON[4886]: (pam_unix) session closed for user root
Jan 23 04:17:01 serv2400 CRON[4922]: (pam_unix) session opened for user root by (uid=0)
Jan 23 04:17:01 serv2400 CRON[4922]: (pam_unix) session closed for user root
Jan 23 05:17:01 serv2400 CRON[4958]: (pam_unix) session opened for user root by (uid=0)
Jan 23 05:17:01 serv2400 CRON[4958]: (pam_unix) session closed for user root
Jan 23 06:17:01 serv2400 CRON[4994]: (pam_unix) session opened for user root by (uid=0)
Jan 23 06:17:01 serv2400 CRON[4994]: (pam_unix) session closed for user root
Jan 23 06:25:01 serv2400 CRON[5000]: (pam_unix) session opened for user root by (uid=0)
Jan 23 06:25:01 serv2400 CRON[5000]: (pam_unix) session closed for user root
Jan 23 07:17:01 serv2400 CRON[5029]: (pam_unix) session opened for user root by (uid=0)
Jan 23 07:17:01 serv2400 CRON[5029]: (pam_unix) session closed for user root
Jan 23 07:30:01 serv2400 CRON[5035]: (pam_unix) session opened for user root by (uid=0)
Jan 23 07:30:01 serv2400 CRON[5035]: (pam_unix) session closed for user root
Jan 23 08:17:01 serv2400 CRON[5199]: (pam_unix) session opened for user root by (uid=0)
Jan 23 08:17:01 serv2400 CRON[5199]: (pam_unix) session closed for user root

\\EDIT
Hittade inga script under min cron.houry mapp heller.

Har tittat i auth loggarna och du har rätt, den är inte hackad.
(Även om det var många attacker, alla misslyckade tack och lov)

Men det vore bra och veta vad den dolda användaren gör och hur man kan avaktivera den.