Board index Unix Security

being hacked?

being hacked?

Post by Kay Diederich » Sat, 23 Dec 2000 23:48:24



Today, in /var/log/messages of my RedHat 7.0 (+updates) box I found

Dec 21 11:26:26 xxx rpc.statd[361]: gethostbyname error for
^X??^X??^Y??^Y??^Z??^Z??^[??^[??%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
Dec 21 16:39:51 xxx kernel: Unable to load interpreter
/lib/ld-linux.so.2
Dec 21 16:39:51 xxx kernel: Unable to load interpreter
/lib/ld-linux.so.2
Dec 21 17:02:37 xxx kernel: Unable to load interpreter
/lib/ld-linux.so.2
Dec 21 17:02:37 xxx kernel: Unable to load interpreter
/lib/ld-linux.so.2
Dec 21 17:18:14 xxx kernel: VM: killing process xfs
Dec 21 17:18:14 xxx kernel: Unable to load interpreter
/lib/ld-linux.so.2
Dec 21 17:27:22 xxx kernel: Unable to load interpreter
/lib/ld-linux.so.2

the machine froze around Dec 21 20:30:00 (but was still 'ping'able this
morning). Could the rpc.statd message be an indication of a
buffer-overflow attack? Could the 'Unable to load interpreter
/lib/ld-linux.so.' error message be due to the buffer overflow being
successfull?

Thanks for any insight,

Kay
--
Kay Diederichs         http://strucbio.biologie.uni-konstanz.de/~kay

Fakultaet fuer Biologie, Universitaet Konstanz
Box M656, D-78457 Konstanz, Germany

 
 
 
Top

being hacked?

Post by Tr?ütm » Sun, 24 Dec 2000 00:52:00



following:

Quote:>the machine froze around Dec 21 20:30:00 (but was still 'ping'able this
>morning). Could the rpc.statd message be an indication of a
>buffer-overflow attack? Could the 'Unable to load interpreter
>/lib/ld-linux.so.' error message be due to the buffer overflow being
>successfull?

>Thanks for any insight,

When in doubt, pull it offline RIGHT AWAY.  That was a buffer overflow
attack.  My Honeypot was hit with the same one this morning, and the
cracker launched a short DoS attack.  Everything logged.  How sweet.

--
___________________________________________

    Mike Tr?tm?n
         http://www.troutman.org

 
 
 
Top

being hacked?

Post by Michael Erskin » Sun, 24 Dec 2000 03:13:20



> Today, in /var/log/messages of my RedHat 7.0 (+updates) box I found

> Dec 21 11:26:26 xxx rpc.statd[361]: gethostbyname error for
> ^X??^X??^Y??^Y??^Z??^Z??^[??^[??%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220

Definate buffer overflow attempt.  Successful? Don't know. But...

Quote:> Dec 21 16:39:51 xxx kernel: Unable to load interpreter
> /lib/ld-linux.so.2

This error is about five hours later.

Quote:> Dec 21 17:18:14 xxx kernel: VM: killing process xfs

This is about 40 minutes after that one.  If you did not kill xfs, not good.

Quote:> Dec 21 17:18:14 xxx kernel: Unable to load interpreter
> /lib/ld-linux.so.2
> Dec 21 17:27:22 xxx kernel: Unable to load interpreter
> /lib/ld-linux.so.2

Look at your .bash_history for root and other system users.

Quote:> the machine froze around Dec 21 20:30:00 (but was still 'ping'able this
> morning). Could the rpc.statd message be an indication of a
> buffer-overflow attack?

It most assuredly is.

Quote:> Could the 'Unable to load interpreter
> /lib/ld-linux.so.' error message be due to the buffer overflow being
> successfull?

That is possible and you definatly should disconnect the machine from
the net at this point and check it out thoroughly.  These errors LOOK
to me like your cracker got in and was setting up something that broke
some of the system software.  Before taking the system off line, nmap
it from some other host.  Save that data.

--
Shortly after the 1967 Mideast War, a young girl asked Ms. Golda Meyer
when there would be peace in the middle east.  Ms. Meyer responded,
"There will never be peace in the middle east so long as we hate our
enemies more than we love our children."

 
 
 
Top

being hacked?

Post by roni » Mon, 25 Dec 2000 05:52:00



> Today, in /var/log/messages of my RedHat 7.0 (+updates) box I found

> Dec 21 11:26:26 xxx rpc.statd[361]: gethostbyname error for
> ^X??^X??^Y??^Y??^Z??^Z??^[??^[??%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220

It wasn't successful. Your system isn't vulnerable to the attack being
executed here.

> the machine froze around Dec 21 20:30:00 (but was still 'ping'able this
> morning). Could the rpc.statd message be an indication of a
> buffer-overflow attack? Could the 'Unable to load interpreter
> /lib/ld-linux.so.' error message be due to the buffer overflow being
> successfull?

> Thanks for any insight,

> Kay
> --
> Kay Diederichs         http://strucbio.biologie.uni-konstanz.de/~kay

> Fakultaet fuer Biologie, Universitaet Konstanz
> Box M656, D-78457 Konstanz, Germany

 
 
 
Top

1. I am hacked

Someone has hacked into our Red Hat Linux 5.0 server. It looks like
they log in as "nobody". The logs show the root password changed by
uid=99.  The following banner appears when logging into the server. I
don't know what the hacker has done. I suspect the 'CREATE_HOME' is
the back door he created. Can someone help?

Red Hat Linux release 5.0 (Hurricane)
Kernel 2.0.32 on an i486
configuration error - unknown item 'CREATE_HOME' (notify
administrator)

2. Load Information

3. Am I being hacked?

4. DOSEMU and tty...

5. ufsrestore & tape amount

6. am i hacked ??? / strange IP

7. NNTP on Linux

8. How do I know if I am being hacked[violated]?

9. Am I getting hacked?

10. Am I Hacked? What should I do next?

11. Am I being hacked by someone??

12. Am I being hacked?


All times are UTC
Board index