Hallo TS,

Dieses Muster ist allerdings neu.

Für dich vielleicht. Ich beobachte das bereits seit Jahren.

Das Muster mit den Hostnames bzw. Domainnames als Username?

Auch. Aber auch völlige Random-Strings und auch Strings, von denen die Betreiber scheinbar glauben, dass es wahrscheinliche Usernamen sind (etwa Vornamen, Nachnamen, Kombinationen davon, root, toor, webmaster, …).

Kann sein, dass da schon mal einzelne Zugriffsversuche nach dem Muster waren, aber nicht Tausende auf einmal, von denen dann eben ca. 95 pro Nacht und Host so massiv waren, dass sie nach der Sperrzeit von fail2ban sofort weitergemacht haben, und das mindestens 4 Mal, also über Stunden.

Wie gesagt. Das Hintergrundrauschen des Internets. Ich habe solche Scans ständig, auf all meinen Servern. Ich habe Login via Passwort komplett abgeschaltet, von daher kratzt mich das jetzt auch nicht, wenn sie durch Zufall mal meinen Usernamen erraten: sie brauchen ja auch noch meinen Key.

LG,
CK