Verifique se /var/log/auth.log
você deve ver um grande número de tentativas mal-sucedidas se alguém tentar atacá-lo. É comumente conhecido como Ruído de fundo da Internet .
Você pode instalar um sistema de detecção de invasões baseado em host, como o OSSEC, e ativar a resposta ativa para bloquear temporariamente os endereços IP ofensivos.