Spiel alle Updates eingespielt? Hast Du den Server auch mal über das CCP komplett ausgeschaltet? Hast Du sshguard oder fail2ban laufen?
Im CCP kann man den Server nicht Ausschalten sondern im SCP.
Das ist normal im Internet laufen Bot Server die versuchen andere Server per den Standard SSH Port anzugreifen.
Tipps:
1. Fail2ban Einsetzen das nach 3-5 Versuchen die IP für 24-48 Stunden in der Firewall automatisch gesperrt wird
Risiko: Der Port ist immer noch im Internet und wenn man selber 5 mal falsch Passwort oder Key verwendet ist man gesperrt und muss wieder SCP im Bildschirmmodus entsperren
2. Port 22 auf ein anderen Port vierstellig Ändern Beispiel Port 2001, die Bots versuchen immer auf Port 22 und 2222 zugreifen, weil diese Bekannt sind.
Risiko: Der Port ist immer noch im Internet und kann mit einen Port Scanner wieder gefunden werden
3. Port in der Firewall schließen nur bei Bedarf per Portknocking öffnen lassen, ist von Firewall unterschiedlich
Risiko: Der Portknocking Port kann auch per Port Scanner gefunden werden, wird aber von 99% der Bots nicht eingesetzt
4. Zugriff auf den Server nur per VPN und SSH nur im VPN Netz freigeben (Setzte ich ein)
Nachteil: Man muss erstmals eine VPN Verbindung zum Server Einrichten und Aufbauen um auf SSH zukommen
Vorteil: Port ist nicht mehr im Internet erreichbar und somit bleiben die Bots draußen.
PS: Ich nutze als Firewall Shorewall und kann mir den Log auf dem Server per tail -f ansehen und sehe dort in 2-5 Minuten Takt Zugriffe per:
SSH, RDP, FTP, und Admintools z.B. Webmin 1001