SSH Bruteforce 72時間でやられました

某ホスティングサービスでVPSをかりて、電源起動して72時間放置したら rootをとられて goshを置いていかれました。 ssh-scanが 200セッションぐらいはられていたので止めました。

電源起動後に放置はよくないけど、デフォルト設定で、すぐrootとられるような 設定してて大丈夫なのだろうか。