On Mon, Jun 18, 2001 at 03:06:14AM +0200, Christian Jaeger wrote:
> Hello,
>
> I run a pc with potato on a cable modem line. Recently I discovered
> the following in /var/log/messages:
>
> Jun 10 20:21:16 pflanze -- MARK --
> Jun 10 20:33:55 pflanze
> Jun 10 20:33:55 pflanze /sbin/rpc.statd[229]: gethostbyname error for
>
>^X���^X���^Y���^Y���^Z���^Z���^[���^[���%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
failed attempt to exploit an OLD hole in rpc.statd. if it had
suceeded you would not have seen the format strings above (%8x%8x...)
if your not using nfs remove nfs-kernel-server and nfs-common, you
don't need them. if you have no other rpc services disable portmap
(apt-get remove portmap in woody, in potato rm /etc/rcS.d/*portmap)
and always make sure you have security.debian.org in your sources.list
(uncommented) and check for updates at least once a week. you have
the nfs security updates installed since the exploit failed.
--
Ethan Benson
http://www.alaska.net/~erbenson/
PGP signature
