<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>On Mar 8, 2013, at 5:43 AM, waseem sarwar <<a href="mailto:waseemsarwar103@...3381....">waseemsarwar103@...445...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">I have a pcre based rule as follow in my rules file,</div><div style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><br></div><div style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">alert udp any any -> any 53 (msg:"MALWARE domain<span class="Apple-converted-space"> </span><a href="http://capodeicapi.eu/">capodeicapi.eu</a>"; pcre:"m/<a href="http://capodeicapi.eu/i">capodeicapi.eu/i</a>"; classtype:trojan-activity; sid:5000968;)</div></blockquote><div><br></div><div>Hm..</div><div>I'm not sure what you are doing with the "m" in your pcre there..  but if you are trying to match on a domain name look up, that rule won't work.  The "." in a domain name is actually a number.  And it would be faster and better to do a content match there.  content:"capodeicapi|02|eu"; or something like that.</div><div><br></div><div><br></div><blockquote type="cite"><div style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">The issue I am facing is that this rule also matches for the domain <a href="http://capo.eu/" style="font-size: 12pt; ">http://capo.eu</a> which it should not match. I am also facing similar problem with more pcre rules such that they match sub string based url of actual rules . I am using snort version 2.9.1.</div></blockquote><div><br></div><div>First thing I am going to ask you to do is upgrade your version of Snort.  We are on 2.9.4.1 now, support for 2.9.1 ended about a year ago.  In addition to that, I also need to know what version of pcre you have installed on the box.</div></div><br><div><br></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; ">--</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; "><b>Joel Esler</b></span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Senior Research Engineer, VRT</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">OpenSource Community Manager</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Sourcefire</span></div></body></html>