Nous venons de suspendre une centaines de machines infecté par un backdoor et dont la release n'était pas à jour.
La faille utilisé semble venir de proftpd qu OVH avait déjà patché en novembre 2011 lors de l'annonce de la faille.
Si vous utilisez ce logiciel sur votre serveur dédié vous devez immédiatement vérifier que vous disposez bien de la dernière version: 1.3.4a
Si vous avez une release 2 OVH vous pouvez effectuer le patch all: http://guide.ovh.com/ReleasePatchSecurite
En plus si votre serveur n'est pas une distribution de virtualisation, vérifiez qu'il est bien booté sur le dernier bzImage:
http://guide.ovh.com/KernelNetboot
Les backdoors localisé pour le moment dans le dossier /tmp:
dt , dtdss, barbut.osx.ppc, barbut1, barbut1.i386, barbut6
Nous avons pu constater que sur certaines serveurs un apache3 était visible dans le ps auxxxwwfffff .
Si votre serveur n'est pas infecté et que vous constatez des scan's en provenance de serveurs avec une IP OVH n'hésitez pas de créer un ticket incident en fournissant l'IP et des logs daté afin qu'on puisse intervenir.
Posted Jan 05, 2012 - 19:56 UTC
This incident affected: Dedicated Servers || Global Infrastructure (BHS, ERI, GRA, LIM, RBX, SBG, SGP, SYD, WAW).