Hack et spam rostoffhost.info, compromission chez Dedibox ?

D'après les logs restants (le robot de l'intrus ayant probablement épuré ceux-ci), l'attaque se résumerait à 7 logins consécutifs provenant de 205.234.141.155 en tant que root, et ce, à l'aide du mot de passe!
Cet accès par mot de passe est bien étrange étant donné que le seul moment où je l'ai saisi était à l'installation de la dite dedibox...

De nombreuses machines issues de distributions de bases différentes (mais toutes des dedibox comme par hasard) ont été touchées... y compris des boxes mises à jour régulièrement par leur propriétaire!

Celle de lache-tes.com n'hébergeait aucun site de type phpbb/dotclear/... et n'avait que le strict minimum en ce qui concerne les daemons actifs...

S'agit-il d'une faille ssh encore inconnue à ce jour, ou, plus inquiétant encore, s'agit-il d'une compromission d'une éventuelle base de données de mot de passe chez dedibox ?

Pour l'instant le mystère reste entier !!!

Liens sur le sujet :

http://forum.ubuntu-fr.org/viewtopic.php?id=142473
http://www.dedibox-news.com/sujet-4631-serveur-pirate
http://www.dedibox-news.com/sujet-4627-htaccess-rostoffhost
http://www.dedibox-news.com/sujet-4632-serveur-dedibox-sous-vhcs-pirate-sites-redirectionnes

Quelques extraits des newsgroups (serveur: news.dedibox.fr, groupe: proxad.dedibox.discussions, sujet: Attaque de serveur):

http://pastebin.com/f5ca6499d
http://pastebin.com/f197e675c
http://pastebin.com/m3711f4b4 Encore une réponse d'Arnaud le 30/08 à 16h27