Avem un server Google Cloud Platform (GCP) care este deschis lumii cu portul ssh 22. (Știu că aceasta este o idee proastă, dar fail2ban rulează și pe acest server doar din acest motiv.) Recent, serverul a început un comportament de utilizare bruscă a procesorului ridicat și câteva ore mai târziu nu mai răspunde. Posibil GCP scade creditele CPU ale serverului la o valoare foarte mică și, în cele din urmă, serverul se oprește.
Am încercat să prind problema rulând ceva de genul nohup top -d 120 -b | grep --line-buffered "încărcare medie" -A 10 & și înregistrarea rezultatului într-un fișier, dar nu am văzut nimic greșit până când nu este logat nimic top și înainte ca serverul să nu mai răspundă.
Cu toate acestea, astăzi am observat că, atunci când încerc să mă conectez la server în această stare, folosind debug (-vvv) inchide ssh, uneori conexiunea se blochează, dar uneori se încheie cu un mesaj ca acesta:
debug1: kex_exchange_identification: linia banner 0: MaxStartups depășit
Încercând telnet server_ip 22 rezultă în același comportament: uneori conexiunea se blochează, dar uneori primesc răspunsul MaxStartups a fost depășit.
Este acesta rezultatul unui fel de atac SSH sau altceva? Cum pot urmări în continuare problema?
