Relatórios recentes [1] [2] revelam que vários servidores ssh estão sendo vitimas de ataques de força bruta pelo bot dd_ssh.

A porta de entrada destes ataques é uma vulnerabilidade encontrada na ferramenta phpMyadmin, está vulnerabilidade afeta as versões 2.11.x anteriores a 2.11.9.5 e 3.x anteriores à 3.1.3.1.

Aparentemente o botnet injeta um script malicioso através do phpMyAdmin. A máquina comprometida servirá de zumbi para ataques a outros servidores.

Para os usuários desta ferramenta recomendo 2 soluções:

1 – Remova ela totalmente do seu servidor, a utilização de ferramentas como Webmin, phpMyAdmin e etc não são recomendadas.

2 – Se você não quer seguir a 1a recomendação então atualize o phpMyAdmin para a versão mais atual

Para evitar ataques de SSH Brute Force recomendo:

1 – Utilização de senhas fortes e se possível uso de chaves DSA

2 – Alterar a porta padrão do ssh

3 – Uso do Port Knocking ( knockd ou SPA )

4 – Uso do Ossec HIDS

Fonte