Tach,

Kann das sein, dass durch das Aussperren erst die Attraktivität der Hosts erhöht wird in gewissen Kreisen? Haben die informelle Netze, in denen der Eine dem Anderen sagt: da musst du mal gukcen, die lassen mich nicht mehr rein?

ne, die Menge an verfügbaren Hosts, die „interessante“ Ziele sind, ist zu groß, als dass das eine Rolle spielen würde, das läuft automatisch ab. Wenn du die Aufmerksamkeit von jemandem mit ausreichend Wissen/Geschick/Zeit/Interesse erweckt hast, wirst du dich gegen einen Angriff nicht wehren können; ab da ist der Job eher Entdecken des Angriffs und Schadenskontrolle (natürlich vorallem durch vorbeugende Maßnahmen).

Sollte ich generell unser Skript erweitern, dass es auch diese Häufungen innerhalb eines Netzes automatisch aussperrt und wie weit sollte ich dabei gehen? Unsere eigenen IPs von den Standorten habe ich schon mal sicherheitshalber auf eine Sonderfunktion gelegt g

Du musst zwei Fälle unterscheiden:

1. dein Loginmechanismus/PW ist sicher genug → dann sind es nur zusätzliche Zeilen im Logfile
2. dein Loginmechanismus/PW ist nicht sicher genug → fail2ban wird dich nicht lange genug schützen oder du wirst dich früher oder später selbst aussperren

mfg
Woodfighter