Salve ragazzi,

ho un server Web in lavoro da un'annetto circa che adesso va in palla in una giornata di lavoro a causa della ram totalmente occupata!
Analizzando bene il sistema vedo un costante aumento dei processi sshd, dopo un'ora sono circa 80 e arrivano ad essere circa 800/900 quando la macchina consuma tutti e 2 gb ram assegnata da OpenVZ (la macchina CentOS è virtualizzata con OpenVZ)


Con il comando pkill taglio tutti i processi liberando la ram, ma puntualmente si ripresentano.
Dai log security non emergono grandi cose... comunque se volete posto i log che possono tornare utili.

Che soluzione può esserci?

Ciao, direi che sei sotto attacco :-)
Per prima cosa puoi installare fail2ban è un servizio che server a bannare (bloccare) gli ip  per un certo periodo di tempo di tutti questi sistemi che provano più di 4 volte al secondo l'accesso ssh al tuo sistema.
Puoi inoltre decidere se loggare il tentativo di autenticazione via iptables.
Inoltre ti consiglierei di verificare se hai attivato dentro sysctl.conf le configurazioni opportune ad evitare sync flooding . Da quello che dici sembra che arrivino richieste di ssh che poi non vengono finalizzate, infatti in /var/log/secure non trovi nulla. Potrebbe essere un attacco di questo tipo. Purtroppo è difficile capire a distanza e senza avere accesso alla macchina. Potresti installare uno sniffer tipo wireshark e analizzarti il traffico per qualche ora.
Ad ogni modo fail2ban e net.ipv4.tcp_syncookies = 1 e net.ipv4.tcp_fin_timeout=10 in sysctl.conf dovrebbe risolverti il problema.

Facci sapere
Ciao

Aspetta ancora un po' e ripeti last quando vedi salire le connessioni, in modo da cercare di capire da dove arrivano.
mi sembra strano che dall'esterno tentino connessioni ssh sulla porta 80.

Poi fai quel che ti ha scritto dankan così eviti che ti si impalli la macchina.

L'unico modo di capire cosa succede e dumpare il traffico ssh oppure effettuare uno stack trace dei processi sshd.
Se sshd ha quel regime di crescita e le richieste non arrivano da fuori.... magari arrivano da altri sistemi sulla stessa lan. Ti consiglio di controllare.

CIiao

Provo a verificare, anche secondo me il sospetto è che provenga dalla lan...

E' tutto possibile, ad esempio, chi ha accesso alla amcchina e potrebbe impostare uno script?

Che pacchetti ha installato?

Prova a verificare se ci sono processi strani che girano. (ps -ef) (pstree)
Inoltre installa chkrootkit e rkhunter e verifica se per caso è stato installato un rootkit sul server.
Cmq puoi verificare da quale pid partono le connessioni usando lsof e netstat.

Ciao