Die Logdateien aller Server quellen über mit Anmeldeversuchen auf den SSH-Dämon. Ich habe schon immer die Zahl der Zugriffe beschränkt auf ca. einen Zugriff pro Sekunde mittels
iptables -A INPUT -p tcp --dport 22 -m limit --limit 1/sec -m state --state NEW -j ACCEPTiptables -A
Geschickter ist wohl die neuere Alternative:
INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j LOG --log-prefix "SSH. Mehrfach-Versuch " iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Bei diesem System wird nach vier Anmeldeversuchen die IP-Adresse für 60 Sekunden blockiert. Das scheint deutlich besser zu blocken, da dann wohl die Scripten der Angreifer ihre Versuche abbrechen.