Per curiosità ho guardato il file auth.log del serverino che ho qui in negozio... ci sono centinaia di queste stringhe:

Sep 11 15:09:58 debian sshd[11466]: Invalid user webrun from
-brutto indirizzo ip-
Sep 11 15:09:58 debian sshd[11466]: reverse mapping checking getaddrinfo for *omissis-ip* failed - POSSIBLE BREAKIN ATTEMPT!

Ho l'indirizzo ip del tipo che ha un suffisso .au.
Se trovo l'isp relativo e mando tali stringhe lo bloccano o non gli fanno una ceppa?