weil die es eben nur alle paar Stunden probiert haben
zwar nicht mit ssh, aber mit imap/sasl hatte ich schon den Fall, das Logins durchprobiert wurden - die IP tauchten alle 25-26h auf. Fiel mir erst auf, nachdem ich die Logs verschiedener Server miteinander verglichen hab. Danach wurde fail2ban hinsichtlich findtime/blocktime deutlich angepasst
Gruss