سلام دوستان. من یک سرور اختصاصی دارم که با Centos 7 هستش که روش directadmin و csf نصبه. (اگر نرم افزار امنیتی خوب دیگه ای هم میشناسید بگید نصب کنم)

آقا ما هر دفعه به این سرور SSH زدیم دیدم حداقل 10 هزار Unsuccessful login attempts قبل از لاگین ما وجود داشته! IP مهاجم ها رو هم که چک میکردم اکثرا از چین یا هنگ کنگ بودن.

تا اینکه اومدم و پورت SSH رو عوض کردم. الان وضعیت بهتر شده، ولی بازم روزی چند تا ایمیل از CSF میاد که روی پورت مثلا 5568 داره brute force میشه! یعنی فاز بعدی حمله شون اینه که بتونن پورت جدید ssh رو پیدا کنن! کلا من نمیدونم واسه چی گیر دادن به سرور جدید من که هنوز چند روز هم نمیشه آنلاین شده! شاید IP سرور قبلا آنلاین بوده و از اون موقع این مشکلات وجود داشته و با صاحب قبلی سرور مشکل داشتن

دو سوال دارم در این باره:
1- کلا واسه چی همچین کاری میکنن؟ چه فایده ای واسشون داره که این همه هزینه Brute force و ... میدن؟ بر فرض مثال اگر بتونن رمز root رو هم پیدا کنن، مدیر سرور از لاگینشون متوجه میشه(ایمیل میکنه csf مثلا یا روش های دیگه) یا اگر بخوان هر کار غیر معقولی کنن بازم صاحب سرور میفهمه و جلوشونو میگیره!
یا مثلا یک سری حملاتی که روی وردپرس با پلاگین های نال شده و ... اتفاق میفته باهاش میان و از سرور قربانی ایمیل اسپم میفرستن، و اینا که به سرور اختصاصی هم brute force میکنن شاید دنبال همچین کارهایی هستن ولی من هرجور فکر میکنم میبینم ارزش نداره خودشون صدها سرور رو درچین و ... اشغال کنن و کلی هزینه کنن تا بخوان brute force کنن واسه همچین کارهایی!!!
عجیبه واسم کلا. میخوام بدونم چرا اینکار رو میکنن و آیا کسی از دوستان تست کرده ببینه مثلا اگر پسورد ssh رو 123456 بذاره چه اتفاقی میفته و بررسی کنه مهاجم بعد از پیدا کردن پسورد میاد توی سرور چه کارهایی میکنه؟


2- میخوام کل رنج IP های چین و هنگ کنگ رو BAN کنم، فکر میکنم بهترین راه همون CSF باشه. چجوری چند صد range آی پی های یک کشور رو deny کنم؟