Este fin de semana encontré un parche que permitía registrar las contraseñas utilizadas al acceder con SSH. El parche está publicado en w8rbt. El parche en si no es muy útil a menos que vayas a poner en marcha un honeypot.
Lo que más me interesa es que además del parche publican una lista de las contraseñas que ha registrado un honeypot con este parche instalado. La lista contiene 350,032 contraseñas únicas, y da una idea del diccionario que usan los bots que patrullan la web en busqueda de puertos 22 abiertos. Si realizas un:
~$ grep contraseña results.txt
Y tu contraseña está entre ellas ya estás tardando en cambiarla. Y no sólo en tu servidor SSH, estos diccionarios se utilizan para acceder a cualquier otro servicio, desde cuentas de correo a puntos de acceso WiFI.