疑わしいネットワークアクティビティ：lsofを使用したsshdプロセスの表示

Debian Jessieを実行するRaspberry Piがあります。広告配信ドメインをブロックするためにPyholeを設置しました（https://pi-hole.net）。ログを見て、中国のドメインから多くのクエリが来ていることがわかりました。

lsof -i疑わしいと思われる次のリストが表示されます。

COMMAND   PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd  1742  root  3u  IPv4  16960  0t0  TCP raspberrypi:ssh->116.31.116.47:50600 (ESTABLISHED)
sshd  1743  sshd  3u  IPv4  16960  0t0  TCP raspberrypi:ssh->116.31.116.47:50600 (ESTABLISHED)
sshd  1774  root  3u  IPv4  16990  0t0  TCP raspberrypi:ssh->183.214.141.105:56265 (ESTABLISHED)
sshd  1775  sshd  3u  IPv4  16990  0t0  TCP raspberrypi:ssh->183.214.141.105:56265 (ESTABLISHED)
sshd  1869  root  3u  IPv4  17068  0t0  TCP raspberrypi:ssh->116.31.116.47:33525 (ESTABLISHED)
sshd  1870  sshd  3u  IPv4  17068  0t0  TCP raspberrypi:ssh->116.31.116.47:33525 (ESTABLISHED)
sshd  1910  root  3u  IPv4  17122  0t0  TCP raspberrypi:ssh->116.31.116.47:35816 (ESTABLISHED)
sshd  1911  sshd  3u  IPv4  17122  0t0  TCP raspberrypi:ssh->116.31.116.47:35816 (ESTABLISHED)
sshd  1931  root  3u  IPv4  17158  0t0  TCP raspberrypi:ssh->116.31.116.47:49492 (ESTABLISHED)
sshd  1932  sshd  3u  IPv4  17158  0t0  TCP raspberrypi:ssh->116.31.116.47:49492 (ESTABLISHED)
sshd  1935  root  3u  IPv4  17163  0t0  TCP raspberrypi:ssh->183.214.141.105:23828 (ESTABLISHED)
sshd  1936  sshd  3u  IPv4  17163  0t0  TCP raspberrypi:ssh->183.214.141.105:23828 (ESTABLISHED)
sshd  1937  root  3u  IPv4  17168  0t0  TCP raspberrypi:ssh->116.31.116.47:53628 (ESTABLISHED)
sshd  1938  sshd  3u  IPv4  17168  0t0  TCP raspberrypi:ssh->116.31.116.47:53628 (ESTABLISHED)
sshd  1940  root  3u  IPv4  17176  0t0  TCP raspberrypi:ssh->116.31.116.47:57858 (ESTABLISHED)
sshd  1941  sshd  3u  IPv4  17176  0t0  TCP raspberrypi:ssh->116.31.116.47:57858 (ESTABLISHED)
sshd  1944  root  3u  IPv4  17194  0t0  TCP raspberrypi:ssh->183.214.141.105:28355 (ESTABLISHED)
sshd  1945  sshd  3u  IPv4  17194  0t0  TCP raspberrypi:ssh->183.214.141.105:28355 (ESTABLISHED)

パスワードを変更してPiを再起動した後、不明なユーザーがいることを確認しました。 Piを安全に保つにはどうすればよいですか？