Z>Элементарно, заходит по ssh или по http/https и
Z>перебирает очевидные пары логин/пароль root/root, admin/admin, admin/secret и т.п.
Z>Судя по логам nginx на моем "домашнем" сервере это происходит регулярно.

На всех сколь-нибудь важных серверах вход только по ключу + случайный порт (типа 19381). Это азы безопасности.