Na początek to albo wyłącz ssh z internetu (jeżeli nie masz udostępnionego to admin dał ciała) albo przestaw sobie ssh na jakiś losowy wysoki port - jest to w gui do zrobienia). Skanery zwykle nie jadą po wszystkich portach bo nie ma na to czasu, jak ustawisz jakiś losowy typu 34252 to już będzie względnie dobrze.

A sorry, tak. Może jakiegoś robala ma.

Kolega został zhakowany i to nie jest śmieszne.
Zalecam zmianę wszystkich haseł adminów na każdym sprzęcie:
- komputery (o ile wcześniej jakieś było)
- rester rutera do ustawień fabrycznych i ponowną ręczna konfigurację z innym hasłem roota oraz innym hasłem wifi
Pewnie syf wpadł na sam ruter ale pewności nie ma że inne urządzenia też nie są przejęte.
Dodatkowo full skan dwoma programami antywirusowymi wszystkich komputerów.
Może w tym mailu albo z dodatkowej informacji od ISP da się dowiedzieć w jakich godzinach nastąpił ten atak może zawęzi to krąg podejrzanych co do resetu/formatu.
Podejrzewam że publiczny IP o ile taki jest już trafił na blacklisty.

iptables -I OUTPUT -p tcp --dport 22 -j DROP
iptables -I FORWARD -p tcp --dport 22 -j DROP

W /etc/firewall.user

ale jeżeli miałeś włam na router to tym samym każdy może sobie zrobić regułkę firewalla jaką chcę wiec to nic nie da. Jeżeli miałeś to z lanu to forward to zablokuje, ale problem i tak  pozostaje - zabezpieczenie urządzeń w lanie.

Jeżeli nie masz pootwieranych portów to nie masz czego monitorować, bo nie masz uslug wystawionych na portach.

To raz że mas w logach openvpn o wszystkich próbach połączenia, dwa - masz regułki iptables i możesz sobie zrobić wykrycie nadmiaowej ilości połączeń na danym porcie ( np. https://serverfault.com/questions/84775 … os-attacks itp )