On Sun, 8 Apr 2001 18:04:54 -0400 "Robert Bartels" <[EMAIL PROTECTED]> wrote:
> I saw this in my logs today. > > Apr 8 15:08:43 mikado rpc.statd[179]: gethostbyname error for > ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%1 > 37x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 > 20\220\220\220\2! > 20\220\220\220\220\220\220\220\220\220 > > It looks like statd is still running. Is rpc still vulnerable? Is there a > way to track down who > connected to rpc.statd? > I'm running unstable and update every other day... Looks like someone _tried_ to compromise your rpc.statd, and failed miserably. You wouldn't have gotten that log message had they succeeded, since it would have crashed rpc.statd, presumably starting a shell or something as it dies. In other words, feel free to laugh, as some script kiddie got schooled by your ultra-secure Debian system. ;) Regards, Alex.
