Bon, alors ce matin, et oui, ca arrive, mon premier hack
Alors, j'ai trouvé un rootkit (chkrootkit roulaize), dans /sbin/init, ils ont viré une chiée de progs dont apache, mysql et cie... donc ils ont eu le moyen d'exécuter des commandes d'une manière ou d'une autre.
Je penche pour une faille webmin, sans en être encore sur, mais apache/php étaient tous les deux à jour, j'étais en safe_mode ... postfix et sshd aussi étaient à jour, et j'avais testé mon serveur à coup de nessus, donc j'étais +- clean...
Soit, je vais lire les logs pour essayer de trouver comment ils ont fait