Пример брутфорса:
Dec 8 14:49:04 web0 sshd[19892]: Address 125.91.126.92 maps to serv1.example.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Dec 8 14:49:04 web0 sshd[19892]: Invalid user jenkins from 185.68.93.138 port 51156
Dec 8 14:49:04 web0 sshd[19892]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=125.91.126.92
Dec 8 14:49:07 web0 sshd[19892]: Failed password for invalid user jenkins from 125.91.126.92 port 51156 ssh2
Dec 8 14:49:07 web0 sshd[19892]: Received disconnect from 125.91.126.92 port 51156:11: Bye Bye [preauth]
Dec 8 14:49:07 web0 sshd[19892]: Disconnected from 185.68.93.138 port 51156 [preauth]
Dec 8 14:57:33 web0 sshd[21080]: Address 158.101.12.235 maps to serv2.example.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Dec 8 14:57:33 web0 sshd[21080]: Invalid user admin1 from 158.101.12.235 port 48622
Dec 8 14:57:33 web0 sshd[21080]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=158.101.12.235

В данном случае производится сканирование портов в надежде найти установленное незакрытое соединение.

Как защититься
1) отключить незащищенное соединение по протоколу ftp, использовать только sftp;
2) закрыть VNC соединение шифрованием;
3) отключить доступ к ssh по паролю. Разрешить подключение только по ключу;
4) подключение по ssh следует разрешить только с определенного ip;
5) cменить sshd, vpn порты по умолчанию, на порты из диапазона 50000;
6) установить и настроить fail2ban.