<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2655.35">
<TITLE>RE: [Snort-sigs] Sig to locate rogue ftp servers</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Try this rule.  I have been using it for the past few months, and have not seen many false positives.  It has the old flags usage because it was written awhile back and I haven't bothered changing it to flow yet. I assume flow:from_server,established; would work as a replacement.</FONT></P>

<P><FONT SIZE=2>331 is the command given after a successful user login.</FONT>
</P>

<P><FONT SIZE=2>alert tcp $HOME_NET !21 -> $EXTERNAL_NET any (msg:"FTP FTP on non-standard FTP port"; flags:AP; content:"331 "; depth:4; classtype:policy-violation;)</FONT></P>

<P><FONT SIZE=2>Derek</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Jukka Juslin [<A HREF="mailto:jtjuslin@...1290....">mailto:jtjuslin@...1151...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Wednesday, February 12, 2003 8:47 AM</FONT>
<BR><FONT SIZE=2>To: Jon</FONT>
<BR><FONT SIZE=2>Cc: snort-sigs@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: Re: [Snort-sigs] Sig to locate rogue ftp servers</FONT>
</P>
<BR>

<P><FONT SIZE=2>Dear Jon,</FONT>
</P>

<P><FONT SIZE=2>I don't think this rule really works. I get 100's of false positives each</FONT>
<BR><FONT SIZE=2>day. Your ssh rule is good, though, because ssh is easy to recognize with</FONT>
<BR><FONT SIZE=2>the SSH- in the header. I had similar rule in use before you posted yours.</FONT>
</P>

<P><FONT SIZE=2>I wouldn't recomment using this rule. Comments?</FONT>
</P>

<P><FONT SIZE=2>Thanks,</FONT>
<BR><FONT SIZE=2>Jukka</FONT>
</P>

<P><FONT SIZE=2>--</FONT>
<BR><FONT SIZE=2>Jukka Juslin (M.Sc.)</FONT>
<BR><FONT SIZE=2><A HREF="http://www.cs.hut.fi/u/jtjuslin/" TARGET="_blank">http://www.cs.hut.fi/u/jtjuslin/</A></FONT>
</P>
<BR>

<P><FONT SIZE=2>On Sun, 9 Feb 2003, Jon wrote:</FONT>
</P>

<P><FONT SIZE=2>->Greetings,</FONT>
<BR><FONT SIZE=2>-></FONT>
<BR><FONT SIZE=2>->I'm using the following rule to hopefully track down rogue ftp servers</FONT>
<BR><FONT SIZE=2>->running on high ports on our (windows) machines.</FONT>
<BR><FONT SIZE=2>-></FONT>
<BR><FONT SIZE=2>->alert tcp $HOME_NET 1024: -> $EXTERNAL_NET any (msg:"FTP on non-standard</FONT>
<BR><FONT SIZE=2>->port"; flow:from_server,established; content:"220"; depth:3;</FONT>
<BR><FONT SIZE=2>->classtype:bad-unknown; sid:100002;)</FONT>
<BR><FONT SIZE=2>-></FONT>
<BR><FONT SIZE=2>->Its not foolproof, but in a little testing it seems to catch what I'm</FONT>
<BR><FONT SIZE=2>->looking for.  I initially was using a source port range of "!21", but found</FONT>
<BR><FONT SIZE=2>->that it triggered on port 25 with mail.  I thought of using "!21:25", but</FONT>
<BR><FONT SIZE=2>->had this dirty feeling that there are dozens of services that typically run</FONT>
<BR><FONT SIZE=2>->on ports 0:1024 that gives 220-ish responses that I don't know of.</FONT>
<BR><FONT SIZE=2>-></FONT>
<BR><FONT SIZE=2>->fyi,</FONT>
<BR><FONT SIZE=2>-></FONT>
<BR><FONT SIZE=2>->-jon</FONT>
<BR><FONT SIZE=2>-></FONT>
<BR><FONT SIZE=2>-></FONT>
<BR><FONT SIZE=2>->-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>->This SF.NET email is sponsored by:</FONT>
<BR><FONT SIZE=2>->SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>
<BR><FONT SIZE=2>-><A HREF="http://www.vasoftware.com" TARGET="_blank">http://www.vasoftware.com</A></FONT>
<BR><FONT SIZE=2>->_______________________________________________</FONT>
<BR><FONT SIZE=2>->Snort-sigs mailing list</FONT>
<BR><FONT SIZE=2>->Snort-sigs@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>-><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-sigs" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</A></FONT>
<BR><FONT SIZE=2>-></FONT>
</P>

<P><FONT SIZE=2>--</FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.NET email is sponsored by:</FONT>
<BR><FONT SIZE=2>SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>
<BR><FONT SIZE=2><A HREF="http://www.vasoftware.com" TARGET="_blank">http://www.vasoftware.com</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-sigs mailing list</FONT>
<BR><FONT SIZE=2>Snort-sigs@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-sigs" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</A></FONT>
</P>

</BODY>
</HTML>