Wie man (bei Debian) herausbekommt, welche IPs es wie oft versucht haben, mit welchen Benutzernamen per ssh reinzukommen:

#!/bin/bash
# Erst mal das Datum wegschneiden, da dort zwei blanks sein koennen
grep Illegal | cut -b8-99 >tmp1
echo "Probierte Usernamen:"
cat tmp1 | cut -d' ' -f6 | sort | uniq -c | sort -n
echo "IPs:"
cat tmp1 | cut -d' ' -f8 | sort | uniq -c | sort -n
echo "Ende"

Die obigen Zeilen einfach in eine Datei schreiben („checklogs“?) und mit chmod +x checklogs ausführbar machen. Dann die Logs drüberlaufen lassen:

cat /var/log/auth.log | ./checklogs

(von http://wiki.hetzner.de/index.php/Security_Firewall#Auflisten_von_IP-Adressen_von_SSH-Scans)