Cualquier IP expuesta hoy en día recibe ese tipo de ataques apenas detectan que tienes ciertos puertos abiertos porque sigue habiendo gente que pone contraseñas simples porque les da pereza usar las complejas o configurar una llave SSH (en Linux es simple, pero en Windows yo igual usaría contraseña sinceramente).
Por si acaso, si se ponen a analizar las IPs o preguntarse cuánto le sale al atacante hacer esto, la respuesta es nada. El atacante en su momento sí se pudo a hacerlo con un ordenador suyo, pero tal y como funciona esto, luego los servidores que logra meter a su botnet se ponen a buscar en más IPs para atacar, de modo que va ganando potencia con el tiempo.
En mi experiencia te diría que no te hagas demasiado lío, ya que problemas tan comunes como estos ya están muy solucionados y no requieren nada novedoso, al contrario, requieren "lo viejo" y bien asentado. En el caso de Linux, lo normal diría que es usar fail2ban (banea X tiempo luego de N intentos fallidos de acceso) que ya viene por defecto con una regla para controlar los intentos de acceso por SSH y desde luego es recomendable quitar el acceso por contraseña y sólo usar acceso por llave.
En el caso de Windows realmente no estoy seguro, ya que los servers Windows son menos comunes excepto para RDP y allí suelen cambiar puertos, pero por lo que vi en su momento no sirve de nada porque siguen atacando al poco tiempo ya que te escanean todos los puertos y encuentran cuál es el que tienens con RDP. En mi caso vendí RDP hace un tiempo, pero todo lo tenía detrás de un Linux con una red virtual NAT así que mi solución y detección del ataque fue desde Linux, por lo que nunca vi cómo solucionarlo sólo desde Windows.
kj
