Vielleicht lesen auch noch Andere mit, die in letzten Tagen einen ähnlichen Wechsel der Angriffe bemerkt haben?

Wie Christian schon schrieb: Grundrauschen. FAIL2BAN verhindert jedenfalls bruteforce-Angriffe zuverlässig. Wenn Du das nicht aushältst ohne mit den Nerven zu flattern (wovon Deine Beiträge durchaus künden), dann bist Du nicht ganz der Richtige für den Job als Serveradmin.

Zum Angriff selbst: Da kommt wohl immer mal was "Neues" aus dem Darknet. Diesmal wohl die "neue" Idee, dass der Benutzername und die Domain übereinstimmen.

Wenn bestimmte IPs besonders penetrant auffallen werfe (ich) die gegreppten Logfiles deren Abuse in den Rachen (oft ist dann Ruhe) und sperre diese (gerne auch ganze Netze) explizit mit iptables. (Brasilaner oder andere Webserver müssen keinen Zugriff auf das zu Hause gehostete Zeug haben...)