以前sshを狙ったブルートフォースアタックが頻繁にあったので対策を調べて以下の対策を講じてみました。
http://thcom.hatenablog.com/entry/2013/08/13/113316

対策後、/var/log/secure を確認してみると自分以外のアクセスログが無かったので有効な対策であったと考えます。

そこでどこで引っかかっているか気になったので調べてみたところ、iptablesで引っかかっていました。/var/log/messagesに記録されています。

destinationPORTを確認してみると、ssh、http、rdp、icmp、その他ウェルノンポート以外のport番号でアクセスを試みていることを確認しました。

ただし、件数が1日10件程度と劇的に少なくなっているので、多分一度アクセスに失敗すると諦めているのかなと思います。

これでしばらく様子を見てiptablesの設定を調整しようと思います。