Hallo

Ist theplanet.com zwingend der ISP des Angreifers oder kann er diese vortäuschen?

nein, muss nicht der ISP sein. das kann ein proxy, ein gateway, sonstwas sein. genauso könnte es ein root-server sein über den der user sich mit ssh auf deinen rechner verbinden willen

Die IP muss also mit dem Angreifer wenn auch nur weit entfernt im Zusammenhang stehen? Es ist nicht möglich irgend eine beliebige IP vorzutäuschen?

ip nach n-fehlversuchen blocken, ip sperren - wobei das wenig bringen wird. das sind nur 2 beispiele.

und wie setzt du das um? Ist es möglich vor der SSH Anmeldung ein Skript aufzurufen?

Ciao