Aus Erfahrung kann ich sagen, dass meist infizierte Clients die Ursache für geklaute Passwörter sind. Besonders gerne werden so FTP-Zugangsdaten "ergattert" (es gab z.B. mal auf illegalen Downloadportalen eine modifizierte Version von Frontpage durch die massenhaft Passwörter gesammelt wurde).
Bei SSH-Zugangsdaten passiert dieses durchaus seltener, aber es ist bei mehreren unserer > 4000 Kunden schon vorgekommen.
Per Bruteforce hatten wir bislang einen uns bekannten Hack. Als Passwort hatte der Kunde "test" vergeben.