服务器被入侵了????

barble

我的服务器是RED HAT LINUX AS 4, 安装的时候选择全部软件安装, 做了一些基本的安全设置, 只对外开了HTTP和SSH服务. 一切似乎正常, 然而今天晚上登陆上去的时候运行w命令的时候，竟然看到了root在线,而我却不是用root登陆的(一般是用普通账号登陆然后再su -)! w运行的结果如下:

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
willson pts/1 218.20.60.61 19:56 0.00s 0.01s 0.00s w
root pts/2 - 19:31 25:57 0.02s 0.02s -bash

问几个问题:
1, 日志文件secure并没有显示出这个root的登陆记录,只是在附近的时间段有一条记录:
Sep 19 17:14:25 gecronix sshd[13661]: subsystem request for sftp
不知道是什么意思.

2, 这个root的IP没有显示,并从pts登陆, 而且还IDLE了将近25分钟，他到底在干吗?

3, 可以将这个root强制注销吗? 是不是已经被入侵了? 应该怎么补救???

谢谢各位了.