Ja, das ist heutzutage leider völlig normal...
Ansonsten fail2ban, root-Login via sshd_config deaktivieren, sichere Passwörter und ssh-Login ausschließlich über Keys erlauben
Zusätzlich lasse ich mich benachrichtigen, wenn sich einer auf dem Server einloggt