Se eu tivesse que adivinhar, o apache era pseudo-aleatório :-) vítima do assassino da OOM. O intervalo no log é provável porque o syslog não estava funcionando - ele pode ter sido bloqueado ou bloqueado por algum motivo ou foi morto também. Minha aposta é que algo preencheu um dos sistemas de arquivos (/ var? / Temp? Talvez algum outro) ou memória. Você usa tmpfs?
Os programas podem criar arquivos e remover referências do diretório enquanto ainda estão abertos. Isso mantém o espaço alocado no disco até que o arquivo seja fechado pelo processo (obviamente, após a reinicialização, você não verá isso).
O SSH funcionará incorretamente se não houver espaço livre para gravar dados no sistema de arquivos ou se não puder alocar mais memória - não tenho certeza sobre detalhes, mas sei que parará de funcionar sob certas condições. É importante aqui ser preciso. Quando você tentou abrir a conexão para o ssh - foi a abertura da conexão TCP? Ou nem isso?
A conclusão é que foi um problema em tempo de execução e, após a reinicialização, pode ser difícil diagnosticar. Simplesmente o kernel estava em execução (a máquina estava respondendo ao ping), mas nenhum programa de espaço do usuário podia fazer nada. Existem muitas razões pelas quais isso poderia ter acontecido; alguns são mais prováveis, outros menos. É improvável que isso tenha ocorrido devido a um ataque de hackers.
A solução é: Se isso acontecer novamente, olhe para o console antes de matar a máquina. Deixe a sessão aberta, se puder. Comece a monitorar cpu / disk / memory para outra máquina. Envie a saída do syslog para a máquina externa - assim você poderá ver as entradas de log mesmo se o fs local estiver cheio.
PS. Há uma pequena chance de que algo aconteceu ao kernel, mas que você certamente veria no console antes de reiniciar.