Servidores estão sendo invadidos por um script chamado “dd_ssh”, através de uma vulnerabilidade do PhpmyAdmin (vulnerabilidade descrita no CVE2008-0600 existente em kernels Linux de 2.6.17 até 2.6.24.1  e que eventualmente não tenham sido patheados. Ver comentários em http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0600).

O dd_ssh é gravado no /tmp/ após uma requisição tipo POST usando $PHPATH/phpmyadmin/scripts/setup.php, e o ataque acontece a partir do seu servidor.

O dd_ssh parece se comunicar  por intermédio das portas 54509/TCP e 54510/TCP.

Veja como se previnir: http://www.todoespacoonline.com/post.php?id=500

Fonte: http://santaremsegundo.blogspot.com/2010/08/ataque-de-forca-bruta-ssh-phpmyadmin.html