[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: rpc.statd being attacked?



I think this is an 800 year old Red Hat exploit, so probably no worries.

No need to worry, but any rpc services are lousy to have running anyway.

- k

----- Original Message -----
From: "Daniel Schepler" <schepler@math.berkeley.edu>
To: <debian-security@lists.debian.org>
Sent: Tuesday, August 21, 2001 4:28 PM
Subject: rpc.statd being attacked?


> I've gotten logs several times that read something like
>
> Aug 20 19:20:24 adsl-63-193-247-253 rpc.statd[330]: gethostbyname error
for ^X
>
<F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y<F7><FF><BF>^Z<F7><FF><BF>^Z<F7><F
F>
>
<BF>^[<F7><FF><BF>^[<F7><FF><BF>%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10
x%n%
>
192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20
>
> (This is at least the way it reads in less.)  For now I've just shut
> down the rpc.statd daemon, but I was wondering if this is a known
> attack.
> --
> Daniel Schepler              "Please don't disillusion me.  I
> schepler@math.berkeley.edu    haven't had breakfast yet."
>                                  -- Orson Scott Card
>
>
> --
> To UNSUBSCRIBE, email to debian-security-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
>



Reply to: