Re: rpc.statd buffer overflow attempt?

From: Johannes Verelst (johannesat_private)
Date: Mon Oct 29 2001 - 08:59:03 PST

  • Next message: Michael Clark: "Scan of the Month - October"

    On Mon, 29 Oct 2001, John Brahy wrote:
    
    > I noticed this in the logs over the weekend. It seems to happen in threes.
    > Looks like a buffer overflow attempt for gethostbyname
    > on rpc.statd. Anyone seen this one before?
    >
    > Oct 26 18:07:45 ccs rpc.statd[189]: gethostbyname error for
    > ^X÷ÿ¿^X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
    
    yes, I've seen this:
    
    (host that does logrotate to .gz files)
    warserver:/var/log# cat *.gz | gunzip | grep "\\\\220" | wc -l
          7
    
    You might find some more information on this here:
    http://www.google.com/search?hl=nl&q=rpc.statd+220
    
    Google is your best friend.
    
    Regards,
    
    Johannes Verelst
    -- 
    Unix is simple. It just takes a genius to understand its simplicity
    Make it idiot proof, and someone will make a better idiot.
    
    
    ----------------------------------------------------------------------------
    This list is provided by the SecurityFocus ARIS analyzer service.
    For more information on this free incident handling, management 
    and tracking system please see: http://aris.securityfocus.com
    



    This archive was generated by hypermail 2b30 : Mon Oct 29 2001 - 09:01:55 PST