rpc.statd Linux

Linux rpc.statd存在远程格式字符串攻击  

2011-06-01 16:53:57|  分类： linux|字号 订阅

Linux rpc.statd存在远程格式字符串攻击 
处理方法：
关闭rpc.statd服务
查看该服务
 # netstat -lp|grep rpc
可以看到有下面一条内容，
tcp 0 0 *:766 *:* LISTEN 3128/rpc.statd
说明是 rpc.statd 正在运行。
查看看766是什么命令执行的监听端口
# lsof -i:766
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
rpc.statd 3138 rpcuser 8u IPv4 6467 TCP *:766 (LISTEN)
查看rpc.statd这个命令是那个安装包的文档
# rpm -qf /sbin/rpc.statd
nfs-utils-1.0.6-80.EL4
查看nfs-utils-1.0.6-80.EL4有什么文件
# rpm -ql nfs-utils-1.0.6-80.EL4
查看nfslock状态
# /etc/init.d/nfslock status
rpc.statd (pid 3128) 正在运行...
停止nfslock服务
# /etc/init.d/nfslock stop
设置开机不启动该服务
# chkconfig nfslock off
# nmap 127.0.0.1 |grep 766