Security Incidents mailing list archives
Re: Which exploit-tool is this?
From: Baudendistel Matt Contractor USTC <Matt.Baudendistel () HQ TRANSCOM MIL>
Date: Tue, 19 Dec 2000 11:50:47 -0600
Well the "scan" is most likely automated by the program. I is connecting to see what port statd is running on and then you have a generic run of the mill statd exploit check http://www.securityfocus.com/vdb/bottom.html?vid=1480 Matt Baudendistel matt.baudendistel () hq transcom mil Systems Security Specialist USTC, TCJ6-OS 229-4924 NCI Information Systems, Inc.
-----Original Message----- From: Johan.Augustsson [SMTP:Johan.Augustsson () ADM GU SE] Sent: Tuesday, December 19, 2000 2:03 AM To: INCIDENTS () SECURITYFOCUS COM Subject: Which exploit-tool is this? Some lamer in Canada has tried to run an exploit against rpc.statd on a huge number of our computers. Can anyone help me find out exactly which tool he/she has used? For some reason I don't have any TCPDUMP logs. Is there any nice website that lists exploits and what kind of data they send or do I have to read the source for every exploit ever posted at Securityfocus? First he run a scan for 111 2000-12-19 02:24:16 24.112.71.38 111 -> 130.241.xxx.xxx 111 - SCAN-SYN FIN 2000-12-19 02:24:17 24.112.71.38 780 -> 130.241.xxx.xxx 111 - Portmap listing 111 2000-12-19 02:24:18 24.112.71.38 780 -> 130.241.xxx.xxx 111 - Portmap listing 111 14 minutes later he executes the exploit Dec 19 02:38:41 'system' rpc.statd[357]: gethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n %137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220 Johan
Current thread:
- Which exploit-tool is this? Johan.Augustsson (Dec 19)
- Re: Which exploit-tool is this? Jan Muenther (Dec 19)
- <Possible follow-ups>
- Re: Which exploit-tool is this? Baudendistel Matt Contractor USTC (Dec 19)