Neueste Erkenntnisse: ich hatte heute das Glück auf dem noch komplett leeren Server direkt eine Art Ablauf von verschiedenen Brute force attacken zu verfolgen und hab das gleich genutzt und diverse Sachen mit iptables ausprobiert.
Innerhalb eineinhalb Stunden kamen von 8 verschiedenen IP's gesamt etwa 3800 Zugriffe. Eigentlich hauptsächlich für root aber auf hohen ports.
Zuerst nur für root. Nachdem ich den bewusst noch nicht verschobenen 22 er dann verlegt habe ging das trotzdem genauso weiter. Erst als ich den login für root disabled habe sind die Zugriffe innerhalb etwa 2 Minuten komplett zum Stillstand gekommen.