Ein Server den ich betreue hatte letzten Herbst durchschnittlich 200 Versuche von 1-2 verschiedenen IPs pro Nacht. Spitzenwert war ca 4000 Versuche in einer Nacht von einer IP.
War relativ lustig jeden morgen zu schauen woher der Angreifer diesmal kam.
Später habe ich mir die IPs mal näher angeschaut: Hauptsächlich Uni oder Firmenrechner. Auf ca. der Hälfte der Firmenrechner lief ein IRC server, der nicht unbedingt so aussah, als hätte die Firma ihn aufgesetzt. Entweder es handelte sich um komische underground IRC netze oder eventuell auch Botnetze.
Insgesamt denke ich, dass die meisten Angriffe von einer Art Wurm kommen, denn die “Signatur” in den Logs war bei vielen gleich – gleiche Anzahl von Versuchen, gleiche Usernames etc.

Ich habe kein Banner eingefügt oder irgendwelche IPs blockiert aber seit irgendwann Ende Dez/Anfang Jan kommt einfach kaum noch was. An manchen Tagen hab ich schon gedacht mein SSH logt nicht mehr weil ich keine Einträge mehr gesehen hab.
Momentan bin ich schon froh, wenn ich nochmal einen Angriff in der Woche beobachten kann – und selbst der probiert eigentlich nur noch selten mehr als 50 Logins aus…

Ich denke also mal, dass es bei dir eher Zufall war…