我建议做四件事来让您的 SSH 更加安全并防止此类攻击。我不一定说他是否真的进入了你的盒子，或者他只是尝试过但失败了，但肯定会改变其中的一些选项，这样将来会更难发生这样的事情。

• 禁用 root 登录：您要确保如果有人通过 SSH 登录，他们将无法立即获得 root 访问权限
• 启用公钥身份验证：遗憾的是，这部分确实需要更多时间来实现，但它要好得多，并且肯定有助于防止未经授权的登录。
• 更改默认端口：这通过默默无闻更加安全，但您的服务器很可能被发现，因为有一个随机机器人扫描程序扫描随机 IP 以查找开放端口 (22)。如果您将其更改为其他内容（但最好是低于 1024 的内容），则扫描仪将其拾取的可能性要小得多。
• 您可以使用 DenyHosts 之类的黑名单程序或其他允许您在一定次数的失败尝试后将某些 IP 列入黑名单的程序。

在查看您的服务器是否已被入侵方面，请检查您的 ssh 日志。它会让您知道尝试登录的用户名，以及他们是否成功登录。

我是一个人列出了一些好的步骤。我要补充一点，在 sshd_config 中使用 AllowUsers 指令允许您指定只有某些用户可以登录 - 例如，“AllowUsers imaperson”意味着 imaperson 可以登录，但任何尝试登录到 root、apache、postgres 或任何其他帐户都存在即使使用正确的密码，系统也会失败。这比“PermitRootLogin no”更进一步。

要回答您更大的问题，您本身并没有被黑客入侵；您正在被自动扫描。它在 Internet 上几乎连续和盲目地进行，这就是为什么我是一个人关于默认端口的建议很有用。我的个人服务器在过去 12 小时内进行了大约 200 次尝试，这是正常的，甚至很低。这通常是噪音，而不是针对您的有针对性的攻击。

过去 12 小时内的失败尝试：

145 root
 10 bin
  1 mail
  1 news
  1 postgres