[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: strange log entry

Yep, it's a security problem.  Someone is trying to hack into your system 
using one of many known security bugs in the rpc daemon.

If you don't need the rpc stuff running, then just disable it (better yet, 
uninstall it).  If you really do need it running, but it's only used 
locally, then I suggest you use ipchains to drop any packets targeted to 
port 111.   But best is to simply remove it entirely.

	--- Wade
 
On Thu, 24 May 2001 05:07:33 GMT, trev26@ihug.com.au writes:
>Heya :)
> 
>I was running a 'tail -f' on my /var/log/messages and this entry appeared 
whil
>e
>I was connected to the internet:
>
>May 24 10:08:11 noogies -- MARK --
>May 24 10:20:34 noogies
>May 24 10:20:34 noogies /sbin/rpc.statd[151]: gethostbyname error for
>^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n
%137x%n%10x%n%192x%n\220\220
>\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220
>\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220
>\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220
>\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220
>\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220
>\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>20
>May 24 10:20:34 noogies
>Ç^F/binÇF^D/shA0À\210F^G\211v^L\215V^P\215N^L\211ó°^KÍ\200°^AÍ\200è\177ÿÿÿ
>
>and it has me worried it may be a security issue. I'm very new to linux, 
and
>newer again to debian, and at this stage I really don't have a clue as to 
what
>the above log entry is trying to tell me...
>
>Any input or comments would be very appreciated :)
>
>Thank you
>
>- trevs
>
>
>
>--  
>To UNSUBSCRIBE, email to debian-security-request@lists.debian.org
>with a subject of "unsubscribe". Trouble? Contact 
listmaster@lists.debian.org
>
>
>

-- 
 /"\  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 
 \ /   ASCII Ribbon Campaign    | Wade Richards --- wrichard@direct.ca 
  X   - NO HTML/RTF in e-mail   | Fight SPAM!  Join CAUCE.
 / \  - NO Word docs in e-mail  | See http://www.cauce.org/ for details.
Reply to: