Re: massively long hostname for `gethostbyname'

["Jeremy L. Gaddis" <jlgaddis () BLUERIVER NET>]

At 2/7/01 06:39 PM -0800, Wendell Craig Baker wrote:

> Feb  7 16:59:16 sploosh named[556]: denied update from [66.27.93.98].1499 for 
> "BAKER.COM"

This looks like somebody tried to send you a "dynamic DNS update" packet.
They were hoping you had configured BIND to accept update packets from anywhere,
allowing them to change what baker.com resolves to, which would let them "hijack"
your domain.

> Feb  8 00:59:21 sploosh rpc.statd[405]: gethostbyname error for 
> ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x
> %n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
> \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
> 0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
> 220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
> \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
> 0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
> 220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
> \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
> 0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220

This looks like the standard rpc.statd exploit.  See the list archives or search
the web for more info on it.

> Does anyone else see this sort of thing?

I don't, but then again I have a good firewall in place also.  I do occasionally
see packets coming in for port 111 (portmapper, which tells the remote hosts
what port rpc.statd is running on), but they're blocked at the gateway.

HTH.

-jg

--
Jeremy L. Gaddis     <jlgaddis () blueriver net>