On Mon, Jun 18, 2001 at 03:06:14AM +0200, Christian Jaeger wrote: > Hello, > > I run a pc with potato on a cable modem line. Recently I discovered > the following in /var/log/messages: > > Jun 10 20:21:16 pflanze -- MARK -- > Jun 10 20:33:55 pflanze > Jun 10 20:33:55 pflanze /sbin/rpc.statd[229]: gethostbyname error for > ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 failed attempt to exploit an OLD hole in rpc.statd. if it had suceeded you would not have seen the format strings above (%8x%8x...) if your not using nfs remove nfs-kernel-server and nfs-common, you don't need them. if you have no other rpc services disable portmap (apt-get remove portmap in woody, in potato rm /etc/rcS.d/*portmap) and always make sure you have security.debian.org in your sources.list (uncommented) and check for updates at least once a week. you have the nfs security updates installed since the exploit failed. -- Ethan Benson http://www.alaska.net/~erbenson/
Attachment:
pgpM8PK1Pj2OQ.pgp
Description: PGP signature