Unerwartete Einträge in authorized_keys – ist mein Server kompromittiert?

Ich habe vor kurzem einen neuen Cloud-Server bereitgestellt und installiertdokku. Ich habe zwei einfache Apps eingerichtet, eine PHP- und Vue/statische App und das Plugin für Letsencrypt.

Alles war in Ordnung, aber zwei Tage später bemerkte ich drei ungewöhnliche Einträge in der authorized_keysDatei für den Dokku-Benutzer. Ich frage mich, ob mein Server irgendwie kompromittiert wurde oder ob ich überreagiere:

Schlüssel wurden redigiert:

command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key> jondo@debian

Dokku hat eine sshcommandFunktion (Verknüpfung), aber ich habe es nie benutzt.

Beim Blick darauf lastist .bash_historynichts Ungewöhnliches zu sehen, es /var/log/auth.logsind die endlosen Brute-Force-Versuche zu sehen, denen, so könnte ich mir vorstellen, alle öffentlichen Server ausgesetzt sind, aber keine ungewöhnlichen Logins.