[PLUG] What does this mean?

Michael Smith codeyeti at yahoo.com
Fri Apr 12 01:02:00 UTC 2002


It looks like somebody trying to overflow your rpc--Remote Procedure Call service.  It runs on port 111. Unless you have a need for NFS or similar services, I wouldn't have that exposed to the world to see.  Even then, I wouldn't let the world have access to that port.  You can block it out at the box with your favorite firewall software.

Even so, you should have a portmapper:all entry in /etc/hosts.deny to disallow use of the service, then put the people you want to have use it in /etc/hosts.allow.  It's not failproof by any means, but it will stop some attacks/mischief.

Jon Jacob wrote:

> Found this in my /var/log/messages file:
>
> Apr 11 17:12:53 lana rpc.statd[709]: gethostbyname error for
> ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
>
> Any ideas what this is all about?





More information about the PLUG mailing list