There has been a lot of traffic on a machine lately.<br>Someone noticed a .mech/.stealth directory in /var/tmp/...<br>which looks kind of like a virus.  It does suspicious<br>things.  There is a file called cyc.pid which contains<br>
a process id.  When I did a ps on the ID I found only<br>"ps" was running.  However, in that same directory I noticed<br>an executable called "ps".  The ps on ps showed it had been<br>running for the last 4 or 5 days, and a regular linux ps runs<br>
no more than a few seconds.  There is also an executable there<br>called "pico" and several server files all pointing to <a href="http://undernet.org">undernet.org</a>.<br><br>Has anyone else run into this?  Is it a virus?  Is like an<br>
IRC bot.  What can be done?<br><br>Tony<br>