Os logins de raiz provavelmente estão balançando as sessões de shell que já foram você. Seu servidor provavelmente também está recebendo o dDOS com todas as tentativas de logins martelando-o.
Bloqueie o SSH. Não permita o login root, e as solicitações que estão tentando forçar brute esta máquina falharão imediatamente (levando muito menos recursos). Faça o login como um usuário normal e eleve as permissões por meio de sudo , uma prática que você deveria estar fazendo de qualquer maneira. Além disso, restrinja o login do SSH a uma lista de IPs do cliente para que as máquinas não aceitem o login.
Use chaves SSH em vez de senhas para o login do usuário. Eles são mais fáceis de lidar e podem ser protegidos por senha caso você acidentalmente entregue uma chave privada no local errado (dando-lhe tempo para substituí-la e invalidar a antiga). Como o @EEAA mencionou nos comentários, você também deve desativar a autenticação baseada em senha se quiser restringir os clientes a usar apenas chaves em vez de senhas e chaves.
Se os clãs mongóis continuarem batendo em sua muralha, talvez mova o SSH para uma porta diferente (abaixo de 1024, como apontou @AustinBurke - para usar uma porta privilegiada) em vez de 22. Isso reduzirá o tráfego nessa parede. port se isso for um problema para você (e a maioria dos bots não são muito graciosos, então eles só tentarão em 22). Ele não impedirá que as coisas tentem a porta 22 ou até mesmo verifique sua máquina para ver qual porta está escutando no SSH e, na maioria dos casos, é um inconveniente desnecessário. Mas isso pode ajudar.
Outras pessoas podem fornecer mais dicas, mas essas são medidas de segurança bem genéricas para um servidor SSH voltado para o público.