Имеется хост виртуализации на Debian 9 и Proxmox с одним внешним IPv4 и несколькими виртуальными машинами, к которым проброшены порты правилами типа:

-A PREROUTING -i vmbr0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 10.10.30.101:22
-A POSTROUTING -s 10.10.30.0/24 -o vmbr0 -j MASQUERADE

Постоянно наблюдаю попытки перебора паролей из нескольких подсетей. Хочу заблокировать все подключения по адресу сети сразу на хосте виртуализации для всех виртуальнрых машин:

-A INPUT -s 185.a.b.0/24 -m comment --comment "bruteforce RDP" -j REJECT --reject-with icmp-port-unreachable

Имеется сервер, который нельзя перезагрузить + сетевая шара, которая подключена через mount.cifs //share. Внезапно отключили пользователя, под которым осуществлялось подключение к samba серверу. В логах каждую секунду пишется:

Jul 22 13:49:50 sv3 kernel: CIFS VFS: Free previous auth_key.response = 00000000a265ed52
Jul 22 13:49:50 sv3 kernel: Status code returned 0xc0000072 STATUS_ACCOUNT_DISABLED
Jul 22 13:49:50 sv3 kernel: CIFS VFS: Send error in SessSetup = -128

# ps auxf |grep  cifs
root      2028  0.0  0.0      0     0 ?        I<   Apr14   0:00  \_ [cifsiod]
root      2029  0.0  0.0      0     0 ?        I<   Apr14   0:00  \_ [cifsoplockd]
root      2034  0.0  0.0      0     0 ?        S    Apr14   5:09  \_ [cifsd]
root      2594  0.0  0.0  15540   980 pts/0    S+   14:13   0:00  |       \_ grep cifs

Имеется Debian 9.8 c ядром 4.15.18, установленным вместе с Proxmox 5.3-11. Наблюдаю странные скачки загрузки процессора (Core i7-6700@3.40GHz) каждые 70минут и длится примерно 5 мин. Лучше всего это видно в графике загрузки CPU в Zabbix: http://ipic.su/img/img7/fs/zab.1554026765.png

Если в это время посмотреть вывод uptime или top будет примерно так:

load average: 3.8, 0.37, 0.44

ни в atop -a: http://ipic.su/img/img7/fs/atop.1554027503.jpg

не показывают процесса, который бы почти полностью загружал 4-ре ядра в течение нескольких минут. Как такое может быть и что я упускаю?