Estes são apenas ataques de bot automatizados e não incomuns para qualquer sistema exposto à internet. Para obter uma lista de usuários, você pode usar getent
no CentOS:
getent passwd | awk -F':' '{ print $1 }'
Para colocá-lo junto com o que você já tem:
while read -r count user; do
printf '%s %s ' "$user" "$count"
if getent passwd | grep -q "^$user:"; then
printf 'valid\n'
else
printf 'invalid\n'
fi
done < <(awk 'gsub(".*sshd.*Failed password for (invalid user )?", "") {print $1}' /var/log/secure* | sort | uniq -c | sort -rn | head -5)