Можно даже вспомнить эпопею с захватом где-то ~600 хостеров - клиентов одной из хостинг панелей.
Причем все были только под linux.было красиво - видимо подобрали к одному и пошли дальше..
Информацию об этом не афишировали сильно - но всех клиентов попросили перегенерировать пароли и ключи к серверам.
в рутките была замена ssh & sshd.
ssh меняли что бы подавить сообщения о том что ключи сменились.
sshd логировал весь набраный текст (включая пароли) куда-то в /usr/share.
ssh вроде тоже куда-то логировал.
дело давнее - уже не помню деталей.
http://www.root0.net/other/ как бы не следы этого.
PS. не забываем что безопасность одного ядра и минимального окружения мало кому нужна, а оценивается по совокупности набора дырок в установленном софте.