Salut,
 
je viens de me faire désactiver un serveur par OVH. Ils ont détecté un scan ssh venant de mon serveur. Dans les logs qu'ils me fournissent on voit des accès sortant vers d'autres ip su le port 22.
 
Il n'y a rien de spécial qui tourne dessus, je devais transférer un vieux serveur dessus avant la rentrée. Ce qui me fait peur c'est que je viens de le mettre à jour, passé de ubuntu 8.04 à 10.04, y'avait fail2ban, pas d'accès ssh pour le root et des mots de passe pas simples...  
 
Je pensais pouvoir être rassuré avec ça. De quoi dois-je me méfier ? J'ai accès aux fichiers logs par ftp, où fouiller ?

Quels fichiers logs à tu ? Un simple history peut aider, ainsi qu'une liste des user/groups sur le système...

Bein en fait il est simplement passé par une faille d'un vieux phpmyadmin non protégé par htaccess. Il a exécuté un rootkit avec l'user www-data mais n'as pas pu trouver de faille dans le kernel. Du coup il s'est juste mis à scanner d'autres serveur en ssh et s'est fait grillé par OVH ... enfin je suppose. Y'a pas de .bash_history pour www-data si ?

La, comme ça, me semble pas....  

Bof c'est pas grave. J'ai déjà vu ce qu'il avait fait dans l'access et error log et c'était juste un serveur de test.  
Je vais lancer la reinstallation et ne plus faire cette erreur.

phpmyadmin.... la faille classique    
 
tout les serveurs web connecté au net se font scanner la dessus, c'est incontournable, sûr et certain !
 
tu ne refera plus l'erreur. soit tu caches cet outil dans 3 profondeurs de répertoires introuvable. soit tu ne le mets tout simplement pas et tu apprends les commandes SQL en console

Soit tu lui colle un htacces