[请教] Logwatch 发现了一段这样的日志信息，请教

menei

Logwatch 中发现这样一段日至信息。请问那位大虾知道是怎么产生的？
在这之前我在 /tmp 目录下发现了三个 perl 的 script 在运行，使用的权限是 nobody, 占用了大量的CPU资源。我不太清楚的是 interface h0 是怎么产生的。

Logged 294 packets on interface h0
  From 2 - 8 packets to udp(80,0,80,80,80,0,0)up(0)
  From 21 - 6 packets to dp(0)udp(8NY,80,80,80,80)
  From 211 - 7 packets to udp(0,80,80,80,80,80,80)
  From 211. - 10 packets to udp(80,0,0,80,80,80,0,80,80,80)
  From 211.1 - 11 packets to udp(0,80,80,80,80,80,80,80,80,0,80)
  From 211.10 - 1 packet to udp(80)
  From 211.11 - 11 packets to udp(80,80,0,80,0,80,80,80,80,80,80)
  From 211.110. - 8 packets to udp(80,0,80,80,80,0,80,80)
  From 211.110 - 8 packets to udp(80,80,80,0,80,80,80,80)
  From 211.110.1 - 5 packets to dp(0)udp(80,80,80,80)
  From 211.110.17 - 4 packets to udp(80,0,80,80)
  From 211.110.178 - 12 packets to 11 udp ports
  From 211.110.178. - 5 packets to udp(0,80,80,80,80)
  From 211.110.178.1 - 9 packets to udp(80,80,0,0,80,80,80,80,80)
  From 211.110.178.10 - 1 packet to udp(80)
  From 211.110.178.14 - 6 packets to udp(0,80,80,0,0,80)
  From 211.110.178.149 - 179 packets to ny(0)p(0)dp(0,0,0)ud(0)150 udp ports
  From 211.182.2 - 1 packet to udp(80)
  From 211.1382.21 - 1 packet to udp(80)
  From 211.13200 - 1 packet to udp(0)

东风破19888

这个我也是不是很懂，有时间我帮你问问，我这里有很多的linux高手，就是他们介绍我来这里交流的

menei

有人知道吗？自己顶！

另外，时常发现在 /tmp 目录下被植入了 mar.txt 程序，一个 Perl 脚本，并且被后台运行，用于发送垃圾信息。

哪位知道如何用 mod_security 防止类似的攻击？

谢谢！

ibearz

我以前服务器跑phpbb的时候，经常被人用漏洞上传发垃圾邮件的脚本到/tmp
后来实在是没办法，写了个shell，定时清空/tmp。。。

menei

你的 /tmp 目录的权限是否设置了 T ，还是仅仅是 777 权限？

bobkey

把那个perl和shell文件贴上来瞅瞅