Salut,
Alors, on a pas encore beaucoup d'infos, mais tu dis que tu as effacé btmp.log et wtmp.log. Et dans ton rapport, il est écrit que c'est le fichier auth.log qui est surveiller pour bannir les tentatives d'intrusion sur le port ssh.
Donc, soit c'est un autre service qui est attaqué, soit tu as changé le fichier de log dans lequel sont répertorié les authentifications SSH.
Du coup, il faudrait voir ce qui est logé dans les fichiers que tu as effacés et faire des règles supplémentaires pour fail2ban si nécessaire.
Édit : après une rapide recherche, j'ai vu que btmp et wtmp servent à logger toutes les connexions. Est ce que tu es sûr que c'est bien une attaque dirigé vers ta connexion SSH ?
