Security Incidents mailing list archives

Previous By Date Next
Previous By Thread Next

Which exploit-tool is this?

From: "Johan.Augustsson" <Johan.Augustsson () ADM GU SE>
Date: Tue, 19 Dec 2000 09:03:14 +0100
Some lamer in Canada has tried to run an exploit against rpc.statd on a huge number of our computers. Can anyone help me find out exactly which tool he/she has used? For some reason I don't have any TCPDUMP logs. Is there any nice website that lists exploits and what kind of data they send or do I have to read the source for every exploit ever posted at Securityfocus? 


First he run a scan for 111

2000-12-19 02:24:16 24.112.71.38 111  ->  130.241.xxx.xxx 111  - SCAN-SYN FIN
2000-12-19 02:24:17 24.112.71.38 780 -> 130.241.xxx.xxx 111 - Portmap listing 111 2000-12-19 02:24:18 24.112.71.38 780 -> 130.241.xxx.xxx 111 - Portmap listing 111 


14 minutes later he executes the exploit
Dec 19 02:38:41 'system' rpc.statd[357]: gethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 


Johan
Previous By Date Next
Previous By Thread Next

Current thread: