因为本人学习linux，所以用以前的旧电脑做了一台linux服务器，由于本人学习使用，也没太在意，root密码特别简单，可是今天回家再登陆时发现密码被修改，然后用last看了一下发现最后root登陆ip显示106.red-79-152-2 ，由于本人才疏学浅，不知是什么ip，google查了一下也没查到什么东东，恳请大侠指点。

他搞了个公钥  然后还创建了个用户  他以后用这个用户就可以登录你的系统了哦  
删除公钥  rm -rf ~/.ssh/authorized_keys  如果你自己也用公钥的方式登录 你自己重新生成以下
删除用户user  userdel -r user

另外 如果你系统不重要 我建议你重装系统  还不知道别人在你系统里到底搞了些什么 留了什么后门。
还有 如果你的linux放在internet上  干嘛要设置那么简单的密码  你这不是给人家有机可趁么。

哈哈，我第一次看到真实的入侵
如楼上所说，重装吧

为啥这些同学都喜欢先下载个EN-US/W2Ksp3.exe啊？？？