Die Logdateien aller Server quellen über mit Anmeldeversuchen auf den SSH-Dämon. Ich habe schon immer die Zahl der Zugriffe beschränkt auf ca. einen Zugriff pro Sekunde mittels

iptables -A INPUT -p tcp --dport 22  -m limit --limit 1/sec -m state --state NEW  -j ACCEPTiptables -A

Geschickter ist wohl die neuere Alternative:

INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j LOG --log-prefix "SSH. Mehrfach-Versuch "
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Bei diesem System wird nach vier Anmeldeversuchen die IP-Adresse für 60 Sekunden blockiert. Das scheint deutlich besser zu blocken, da dann wohl die Scripten der Angreifer ihre Versuche abbrechen.