Eu descobri o problema. Fomos invadidos e um usuário fez tentativas em outros servidores.
Eles usaram uma vulnerabilidade na configuração do Nagios que permite ao usuário "nagios" fazer logins. Desabilitamos logins para este usuário e matamos o processo que estava realizando as tentativas