[Date Prev][Date Next]   [Thread Prev][Thread Next]   [Thread Index] [Date Index] [Author Index]

Re: Strange /var/log/messages LOG Hack attempt?

On 7/12/02 12:49 PM, "Nicolae" <enigmax netzero com> wrote:

> 
> I have this in my message log and I haven't had this happen before.  Any
> input on this..
> 
> Jul 11 11:48:15 myhost rpc.statd[807]: gethostbyname error for
> ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^
> [÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\2
> 20\220\220\220\220\220\220\
> 220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
> 220\220\220\220\220\220\220
> \220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
> \220\220\220\220\220\220\22
> 0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
> 0\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\
> 220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
> 220\220\220\220\220\220\22
> 
> I know on httpd logs what these are:
> 200.184.174.XXX - - [10/Jul/2002:16:24:37 -0700] "GET
> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNN%u9
> 090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9
> 090%u9090%u8
> 190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 400 322
> "-" "-"
> 
> That makes me feel so good; that I am not running windows.
> 
> Although the question was / wondering why did I get the first odd
> looking log on my /var/log/messages

Looks like code red II.  You get that line in /var/log/messages because the
address was faked (or overloaded, etc.) and your machine tried to do DNS
resolution.
-- 
Ed Marczak
marczak usa net
[Date Prev][Date Next]   [Thread Prev][Thread Next]   [Thread Index] [Date Index] [Author Index]