El sistema ejecuta un demonio SSH y un servidor web nginx, ambos puertos están abiertos a Internet. Somos parte de una universidad, por lo que nuestros puertos se reenvían desde el enrutador principal a la intranet.
Aproximadamente a las 19:00, el demonio SSH deja de responder a todas las solicitudes de inicio de sesión. Todas las contraseñas, así como las claves SSH parecen inválidas. Respondimos desconectando la máquina dos horas después del incidente, en caso de que fuera más que un "fallo técnico".
También revisé los registros del daemon, y no hay ninguna razón para sospechar que el proceso se interrumpió, ya que seguía respondiendo a las solicitudes de contraseña, pero no permitía a ningún usuario iniciar sesión con las credenciales correctas.
He descartado un error de usuario al buscar en los archivos del historial del shell. La única otra opción es que fuimos atacados. Entonces mi pregunta es: ¿esto es un problema con OpenSSH, o mi sistema fue violado?
Me doy cuenta de que esta es una pregunta muy amplia con pocos detalles, por lo que le proporcionaré más información cuando la solicite.
EDIT Corriendo en Fedora 20 Heisenbug con OpenSSH v.6.4p1, y Nginx v1.6.0 No estoy seguro de qué software de auditoría está disponible en Fedora. ¿Alguien podría sugerir