Am Sun den 25 Mar 2001 um 09:20:55PM +0200 schrieb Thomas Guettler:
Da ich mit meiner "sonne" nur selten Netz bin habe ich bisher auf Security-Updates verzichtet. Wahr wohl ein Fehler. Als ich vorhin im Netz war bekam ich ploetzlich:
"Message from syslogd@sonne at Sun Mar 25 13:01:41 2001 ... sonne "
Da hat wohl jemand den rpc.statd exploit auf deine sparc losgelassen. Auch wenn jetzt gleich jemand mit Steinen werfen will:
Solaris ist davon überhaupt nicht betroffen, sondern ausschließlich Linux. http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1480
In syslog fand ich:
Mar 25 13:01:41 sonne 173>Mar 25 13:01:41 /sbin/rpc.statd[151]: gethostbyname error for ^X<F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y <F7><FF><BF>^Z<F7><FF><BF>^Z<F7><FF><BF>^[<F7><FF><BF>^[<F7><FF><BF <90><90><90><90> ..... [schnibbel]
Ich glaube du mußt noch die nächste Zeile mitposten, denn die ist interessanter (man sieht, ob es gefunzt hat oder nicht).
Und mein ip-logger (ippl):
Mar 25 13:01:37 sunrpc connection attempt from 203.126.106.110 (203.126.106.110:3861->217.50.96.210:111)
Sowas findet man fast täglich auf unserer Kiste. Scheint ein Volkssport zu sein aber der bind Port ist noch beliebter ;-)
Werde mir mal ein firewall-script schreiben das keine eingehende Verbindungen zulaesst.
Hat jemand eine gute Idee für ein Programm, was man an diesen Port lauschen lassen könnte, um etwas Rabatz auf der anderen Seite zu erzeugen?
andre