gracias, por las respuestas informativas (kde_tony, joserafael, lSaKenl, smatiz), je je, pues sí la infiltración fue vía ssh, en el momento que me di cuenta no fue por hacer un test de seguridad, me di cuenta debido a que no estaba haciendo ninguna actividad que utilizara la red y se resportaba (con conky) upload de algunos K y una conexión abierta ssh.

Con respecto a la ip pude verla con firestarter, haciendo nslookup me doy cuenta que es gente de una universidad en francia que de seguro se divertía con mi pobre seguridad....

Voy a instalar las aplicaciones que me sugieren, la verdad dejé el acceso ssh por que pensaba un día me serviría para mis asustos académicos, más nunca la utilicé...