На БЗДяшных серверах наблюдается такая картина (не только на БЗДяшных, на самом деле, просто у БЗДей очёт в удобном виде):

mail.example.com login failures:
Mar 19 05:32:35 mail sshd[41429]: warning: /etc/hosts.allow, line 19: can't verify hostname: getaddrinfo(unknown168.121.65.69.defenderhosting.com, AF_INET) failed
Mar 19 23:52:53 mail sshd[45248]: Invalid user test from 165.141.177.14
....
Mar 19 23:53:20 mail sshd[45262]: Invalid user test from 165.141.177.14

mail.example.com refused connections:
Mar 19 09:10:34 mail sshd[41997]: refused connect from 203.95.106.20 (203.95.106.20)
Mar 19 14:51:28 mail sshd[43121]: refused connect from 202.121.131.112 (202.121.131.112)
Mar 19 16:31:26 mail sshd[43513]: refused connect from 221.236.245.165 (221.236.245.165)
Mar 19 16:38:32 mail sshd[43543]: refused connect from 221.236.245.165 (221.236.245.165)
Mar 19 23:53:21 mail sshd[45278]: refused connect from 165.141.177.14 (165.141.177.14)

Кроме того, анализ Netflow показывает, что на несуществующие адреса приходят пакеты, причём в количестве около 3 Гб за полмесяца на сеть с маской 255.255.255.0.

nmap на парочку таких адресов показал, что атака ведётся с линуксовых машин.
Хотелось бы узнать, вдруг кто ловил этого бота за руку? Как он зомбирует машины? Использует ли он какие-нибудь баги в софте/ядре? Только ли линуксовые машины подвержены зомбированию?
С этой информацией можно будет определить необходимые и достаточные меры по защите и лечению от этой гадости, и можно будет уже слать письма админам заражённых машин с просьбой уничтожить эту тварь)
Если что, могу пошариться по логам и выложить список всех адресов, замеченных в переборе.

• Перебор паролей ssh линуксовыми ботами,vfp7, 11:48 , 26-Мрт-08
  • Перебор паролей ssh линуксовыми ботами,WhiteWind, 18:22 , 26-Мрт-08
    • Перебор паролей ssh линуксовыми ботами,vfp7, 18:29 , 26-Мрт-08
      • Перебор паролей ssh линуксовыми ботами,WhiteWind, 11:58 , 27-Мрт-08
  • Перебор паролей ssh линуксовыми ботами,zidi, 20:52 , 08-Мрт-10
    • Перебор паролей ssh линуксовыми ботами,Kbvepby, 15:16 , 31-Мрт-10
      • Перебор паролей ssh линуксовыми ботами,Hao, 11:02 , 08-Июн-11

Настрой firewall на доступ к sshd с определенных ip (можешь привязать MAC до кучи) и блокировку всех остальных, этого тебе хватит за глаза.

http://www.opennet.me/openforum/vsluhforumID10/3457.html

>Кроме того, анализ Netflow показывает, что на !несуществующие! адреса приходят пакеты, причём в количестве около 3 Гб за полмесяца на сеть с маской 255.255.255.0

И от этого спасёт?)

>И от этого спасёт?)

У меня НОЛЬ левых обращений на четырех серверах ...

>
>>И от этого спасёт?)
>
>У меня НОЛЬ левых обращений на четырех серверах ...

Спасибо, ваш ответ мне очень помог ;)

>Настрой firewall на доступ к sshd с определенных ip (можешь привязать MAC
>до кучи) и блокировку всех остальных, этого тебе хватит за глаза.
>
>
>http://www.opennet.me/openforum/vsluhforumID10/3457.html

У меня такая же ситуация как описано выше, на мыло подобные мессаги пришли.
Но ограничивать по ИП я не могу ибо приходится ходить не сервер по ssh не только из локальной сети, а и по мобильнику к примеру. Номер порта для ssh  я переназначил, всё работало наверно с пол года, потом увидел на почте вышеуказанные сообщения и на сервер зайти по ssh не могу, а нахожусь физически от него далеко.
Как быть?

>Как быть?

Посмотрите denyhosts

portknock в помощь, причем лучше с помощью iptables можно сделать, не заморачиваясь левым софтом.