ho guardato syslog, auth.log, kern.log, user.log ma non mi sembra ci sia niente di strano (per quello che ne posso capire io )...
cmq il fatto che i messaggi strani appaiono nei log di apache.. posso supporre che ci sia qualcosa che abbia "aperto" un'accesso proprio tramite apache.. (in tutta la mia ignoranza.. certo mi pare strano che da una porta 80.. che server pagine web si possa riuscire a scaricare dei file su aree del disco diverse dalla www root !! .. e poi sempre tramite apache si possano eseguire degli script sempre in locazioni diverse da www root..)
Fatto sta che in qualche maniera "hanno" attivato un server IRC .. e non riesco a capire come!!