如何看待黑客 root 登录污染 sshd 日志的情况？

你这个想法就不对了
现在的互联网哪还有友善直说，现在无非都是流量黑产作祟，你见过还有几个真真切切的是无私分享的
端口扫描本来就无法阻止

@churchmice 扫描 ssh 性价比很低的，我是好奇明明看不见希望，为什么还要坚持。

哪怕是扫 web 端口，漏洞都还多那么一点点。

@tool2dx 对你而言，他们无希望
对他们而言，广撒网

端口扫描从来都是难以遏制的，互联网上一大堆自动化扫描+漏洞利用脚本，跟他们讲友善与否纯粹是对牛弹琴....最近还有 ssh 的条件竞争漏洞，搞得自动化脚本更凶残了。

顺便你提到了性价比，我觉得你对于性价比的理解有点问题，对他们来说无非是搭个服务器，可能配点地址池对整个公网批量尝试弱口令，这个脚本很难写吗？这成本很高吗？而如果成功爆破到那获取到的是什么呢？一个肉鸡服务器，配置不说，起码有个新的公网 IP 。这实际上是一个性价比很高的行为。

免费的肉鸡，免费的矿机，对他们来说香得狠，无非就是暴力猜密码

> 每开一台新 VPS

国内 VPS 的常用 IP 段早就加入恶意攻击的目标 IP 库了，怎么换 IP 作用都不大。

> 只要不更换 ssh 默认端口，必然会有一大堆的恶意尝试登录请求

你已经知道解决方案了。

> 同在互联网，大家就不能友善一点吗

从另一个角度来说，每天有人免费帮你做渗透测试，不开心？

白名单永远是最好的做法

以前换端口，现在从来不换。

禁止密码登录，只允许 ssh 组用户登录，把自己加入 ssh 组，完事。

防火墙加个白名单不就行了 反正经常登录的地点也就是公司和家里

装个蜜罐

你去 502 论坛看看就知道了，那些做灰产的 手头几千几万台机器 都不是啥很高深的黑客就是纯扫，想变现还怕违大法

@w568w 换口也没有用的，过几天还是会被扫。这个问题本来就无解，最好就是云支持从外部关闭 SSH 的端口（用的时候再打开）

换端口也被扫，我的 LA 的 VPS 换了高位端口也天天被扫

因为，不会搞 public key 或者不愿搞的用户很多很多……

@adoal 想想看甚至有很多人会把 MySQL 甚至 Redis 、MongoDB 、ES 的服务直接暴露在公网上并且没做网络限制和认证限制

@Goooooos 换端口会好那么一点。我测试下来 1：5 的概率。

我一般会用 fail2ban 阻止访问频率过高的 IP ，而扫高位端口的那些 IP ，刚好符合这个特性。

个人用户的话,我是这么解决的
1. ipset 把自己所在的省份 IP 加入白名单,其他黑名单. 扫描数可以降至个位数.
2. 关闭外网 ssh 端口开放,安装 xray,sing-box 等.在客户端本地端口转发登录 ssh.

黑客个屁，脚本小子罢了

Port knocking

人善被人骑