Ainda não pude realizar o teste do Fail2ban, mas hoje aconteceu um fato que pode corroborar a tese de não serem os acessos indevidos.
Um servidor recém instalado do zero, em um cliente nada a ver com o resto, estava com seu FTP fora do ar. Antes de religá-lo, olhei o log e encontrei um kill no processo do nada:
2016-04-25 06:35:28,969 ip-172-31-54-225 proftpd[1074] ip-172-31-54-225.ec2.internal: ProFTPD killed (signal 15)
2016-04-25 06:35:28,969 ip-172-31-54-225 proftpd[1074] ip-172-31-54-225.ec2.internal: ProFTPD 1.3.5rc3 standalone mode SHUTDOWN
2016-04-25 15:21:21,235 ip-172-31-54-225 proftpd[23334] ip-172-31-54-225.ec2.internal: ProFTPD 1.3.5rc3 (devel) (built Fri Dec 20 2013 18:05:41 UTC) standalone mode STARTUP
2016-04-25 15:21:23,378 ip-172-31-54-225 proftpd[23334] ip-172-31-54-225.ec2.internal: ProFTPD killed (signal 15)
2016-04-25 15:21:23,378 ip-172-31-54-225 proftpd[23334] ip-172-31-54-225.ec2.internal: ProFTPD 1.3.5rc3 standalone mode SHUTDOWN
2016-04-25 15:21:23,996 ip-172-31-54-225 proftpd[23394] ip-172-31-54-225.ec2.internal: ProFTPD 1.3.5rc3 (devel) (built Fri Dec 20 2013 18:05:41 UTC) standalone mode STARTUP
root@ip-172-31-54-225:/var/log/proftpd#
Na continuação fui eu religando.
Ainda me parece uma queda por timeout.