Любой владелец сервера с работающим sshd-демоном знаком с бесконечными попытками неудачной аутентификации со стороны многочисленных ботов. Это совершенно не угрожает безопасности, особенно если вы используете аутентификацию по ключу, но подобные запросы от скрипт-кидди засоряют логи и очень надоедают. Каждый решает проблему в меру своих возможностей. Кто-то просто игнорирует запросы от ботов как неизбежный сетевой шум, а кто-то использует программы для блокировки IP-адресов после нескольких попыток неудачной аутентификации. Для этого можно порекомендовать fail2ban. Ещё одним популярным трюком было перенести sshd-демон со стандартного порта 22 на какой-нибудь порт в верхней части 65536-диапазона в надежде хотя бы так избавиться от «мусора». К сожалению, этот метод перестал работать. Специалисты по безопасности сообщают о случаях беспорядочного сканирования портов во всём диапазоне. Они говорят, что это вполне естественное развитие событий, а странно скорее то, что о таких случаях не сообщалось ранее. Вероятно, раньше такого не было, потому что не очень многие веб-мастера переносили SSH на нестандартные порты, а большинство из них не уделяло внимания логам. Но теперь «халява» закончилась, и поиск SSH с общеупотребительными паролями идёт на всех портах. Логи выглядят примерно так: источник 18.02
Самое интересное это то, как они вычисляют такие порты? Сканят весь диапазон? Но это на ста мегабитах секунд сорок на хост минимум же, много не насканишь... У меня ssh, http, torrent, и прочие сервисы все в ряд на нестандартных портах висят, брут\сканирование постоянные.