Postado originalmente por Anonymous
Esse tipo de ataque é feito por um exploit muito comum e muito utilizado, que, a partir de uma enorme lista com combinações de senhas, tenta acesso ao seu servidor com conta de "root". Observer bem, a maioria das tentativas são como usuário root ou outros bem comuns, como admin, super, etc...Até pq não tem como os caras ficarem testando nomes de usuários comuns, tipo joao, maria, andré....
A melhor dica (se você precisa deixar o SSH aberto para redes externas) é você desabilitar logins de root, e também você mudar a porta padrão do SSH.