[ale] What's this guy doing?

Michael Phillips mike at coosavalley.net
Sat Apr 10 08:05:56 EDT 1999 

Looks like someone was attempting a buffer overflow exploit attack..
I'd *very* carefully examine your system, compare MD5 checksums on the
system binaries (logon, ls, passwd etc) against the originals or against
those on a known clean system. You may have been hacked and have an intruder
on the system. First thing to do would be to take the machine off the
network if possible while you do this.

NFS is full of security holes and early versions can allow an intruder to
gain root access via the overrun....good luck!

Mike

-----Original Message-----
 From: Jim Popovitch <jimpop at rocketship.com>
To: ALE <ale at ale.org>
Date: Saturday, April 10, 1999 5:00 AM
Subject: Re: [ale] What's this guy doing?


>Dyslexia has set in.  That should be "I saw this come through..."
>
>-----Original Message-----
>From: Jim Popovitch <jimpop at rocketship.com>
>
>
>>I was this come through our mail server logs today....
>>
>>
>>Apr  9 13:20:24 gateway kernel: Warning: possible SYN flood from
>>208.166.52.23 on 12.77.54.157:111.  Sending cookies.
>>Apr  9 13:20:28 gateway
>>Apr  9 13:20:28 gateway syslogd: Cannot glue message parts together
>>Apr  9 13:20:29 gateway 29>Apr  9 13:20:28 mountd[282]: NFS mount of
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^
>P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
P
>^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^
>P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
P
>^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^
>P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
P
>^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^
>P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
P
>^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>Apr  9 13:20:29 gateway
>>(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-
>>attempted from 208.166.52.23
>>Apr  9 13:20:29 gateway mountd[282]: Unauthorized access by NFS client
>>208.166.52.23.
>>Apr  9 13:20:29 gateway syslogd: Cannot glue message parts together
>>Apr  9 13:20:29 gateway mountd[282]: Blocked attempt of 208.166.52.23 to
>>mount ^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^
>P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
P
>^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^
>P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
P
>^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^
>P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
P
>^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^
>P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
P
>^
>>P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
>>Apr  9 13:20:30 gateway
>>(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-
^
>E
>>^H(-^E^H(-^
>>E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^
H
>(
>>-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H
>>(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-
>>Apr  9 14:03:14 gateway named[647]: Cleaned cache of 19 RRs
>>
>>

More information about the Ale mailing list