Security Incidents mailing list archives

Re: Which exploit-tool is this?

From: Baudendistel Matt Contractor USTC <Matt.Baudendistel () HQ TRANSCOM MIL>
Date: Tue, 19 Dec 2000 11:50:47 -0600

Well the "scan" is most likely automated by the program. I is connecting to
see 
what port statd is running on and then you have a generic run of the mill
statd exploit

check http://www.securityfocus.com/vdb/bottom.html?vid=1480


Matt Baudendistel
matt.baudendistel () hq transcom mil
Systems Security Specialist
USTC, TCJ6-OS 229-4924
NCI Information Systems, Inc.

-----Original Message-----
From: Johan.Augustsson [SMTP:Johan.Augustsson () ADM GU SE]
Sent: Tuesday, December 19, 2000 2:03 AM
To:   INCIDENTS () SECURITYFOCUS COM
Subject:      Which exploit-tool is this?

Some lamer in Canada has tried to run an exploit against rpc.statd on a 
huge number of our computers. Can anyone help me find out exactly which 
tool he/she has used? For some reason I don't have any TCPDUMP logs. Is 
there any nice website that lists exploits and what kind of data they send

or do I have to read the source for every exploit ever posted at
Securityfocus?


First he run a scan for 111

2000-12-19 02:24:16 24.112.71.38 111  ->  130.241.xxx.xxx 111  - SCAN-SYN
FIN
2000-12-19 02:24:17 24.112.71.38 780  ->  130.241.xxx.xxx 111  - Portmap 
listing 111
2000-12-19 02:24:18 24.112.71.38 780  ->  130.241.xxx.xxx 111  - Portmap 
listing 111


14 minutes later he executes the exploit

Dec 19 02:38:41 'system' rpc.statd[357]: gethostbyname error for 
^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n
%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220 



Johan

Current thread:

Which exploit-tool is this? Johan.Augustsson (Dec 19)
- Re: Which exploit-tool is this? Jan Muenther (Dec 19)
- <Possible follow-ups>
- Re: Which exploit-tool is this? Baudendistel Matt Contractor USTC (Dec 19)