linux-l: rpc.statd: komische Fehlermeldung

[Andre Schmaida]

* David Hansen <david.hansen at physik.fu-berlin.de> [010517 19:30]:
> On Thu, May 17 at 19:21 Jan-Benedict Glaw wrote:
> > > May 17 03:54:39 ds9 /sbin/rpc.statd[159]: gethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\...
> > > 
> > > Das geht noch ein paar Zeilen so weiter.
> > 
> > Da hat gerade wer versucht, Deinen Rechner zu knacken. ...und vielleicht
> > auch geschafft:-|
> > 
> 
> Also versucht einen Bufferoverflow zu erreichen...
> 
> Es scheint alles noch halbwegs normal auszusehen hier. Wie krieg ich
> denn jetzt raus, ob da jemand Erfolg hatte?
> 
laeuft der syslogd noch? wenn ja spuckt er auch messages raus?
lastlog
grep useradd /var/log/messages
schaue nach Verzeichnissen der art ".."
zeigt die shellhistory(.bash_history o. .history) von root auf /dev/null?
wann wurden die Dateien:
killall
syslogd
sshd
etc. angelegt
schaue nach user mit userid 0 ausser root(vorzugsweise tmp tmpx)
scanne den rechner ab, offene ports etc.(inet.d) veraendert.

...

andre (selbst redhat-wuermer geschaedigt und ein haufen geschaedigter
cobalt-rechner von kunden am hals)