[바다]님이 남기신 글:

> "웹변조 예방(PHP 최신 프로그램(PHP 4.3.10 및 PHP 5.0.3)
업그레이드(http://www.php.net/downloads.php)-php.ini 환경설정 중
allow_url_fopen의 값을 off로 변경)"의
>경고가 떠돌고 당한 곳이 주위에서 많은것 같아서
>서버 중 한대에 대해서(on으로 되어 있는,,) off로
변경할려고
>오늘 접속해보니,,,
>,,,last 명령어로 접속 정보가 안나오길래 
>/var/log/wtmp를 보니깐,,,아래와
 같습니다.
>
>/var/log
>lrwxrwxrwx    1 root     root            9  1월  1 15:59 wtmp ->
/dev/null
>
>
>또, root의 history도 지워진것 같아 확인해보니깐,,,,,아래와
 같습니다.
>
>/root
>lrwxrwxrwx    1 root     root            9  1월  1 15:08 .bash_history ->
/dev/null
>
>이거 해킹당한건가요?

>새로운 계정이 생성된건 없더라구요,,,
>그리고 별다른 이상증상도 아직은,,,^^;;
>
>해킹당한건지요?

>어케 해야 하나요?
>
>
>참 그리고 위의 심볼릭 링크되어 있는것은 
>해제해 버리면 되나요?
>해제해도 문제는 안생기겠죠?
>
>해제하는 명령어를 모르겠습니다,(리눅스
 사전 보아도 안나오네요,,)
>어떻게 해제 하나요?
>
>음,,잠못이루는
 밤이 될것 같네요,,,
>좋은 밤 되세요,,, 

========================================

크래킹 흔적이 맞습니다.

위의 심볼릭 링크를 지우고 파일을 생성해 주면 됩니다.
(퍼미션 동일하게)

그리고

chkrootkit 같은 점검툴로 한번 점검해 보세요