<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=utf-8">
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>

<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.6487.1">
<TITLE>[Snort-sigs] Crashing snort</TITLE>
</HEAD>
<BODY dir=ltr>
<DIV>The only thing that I notice is there is no semi-colon after the 
flow:from_server,established on either rule.</DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV><FONT size=2>-----Original Message----- <BR><B>From:</B> 
  snort-sigs-admin@lists.sourceforge.net on behalf of Matthew Jonkman 
  <BR><B>Sent:</B> Tue 6/29/2004 9:20 PM <BR><B>To:</B> snort-sigs mailinglist 
  <BR><B>Cc:</B> <BR><B>Subject:</B> [Snort-sigs] Crashing 
  snort<BR><BR></FONT></DIV>
  <P><FONT size=2>Put these up but disabled them. They're causing snort to core, 
  recent<BR>stable version.<BR><BR>alert tcp $EXTERNAL_NET 6667 -> $HOME_NET 
  any ( msg:"BLEEDING-EDGE P2P<BR>iroffer IRC Bot help message"; content:"|54 6F 
  20 72 65 71 75 65 73 74<BR>20 61 20 66 69 6C 65 20 74 79 70 65 3A 20 22 2F 6D 
  73 67|"; depth:500;<BR>flow:from_server,established classtype:trojan-activity; 
  sid:2000338; rev:1;)<BR><BR>alert tcp $EXTERNAL_NET 6667 -> $HOME_NET any ( 
  msg:"BLEEDING-EDGE P2P<BR>iroffer IRC Bot offered files advertisement"; 
  content:"|54 6F 74 61 6C<BR>20 4F 66 66 65 72 65 64 3A|"; depth:500; 
  flow:from_server,established<BR>classtype:trojan-activity; sid:2000339; 
  rev:1;)<BR><BR>Anyone see anything wrong there? Enableing either causes a 
  core.<BR><BR>Matt<BR>--<BR><BR><BR>-------------------------------------------------------<BR>This 
  SF.Net email sponsored by Black Hat Briefings & Training.<BR>Attend Black 
  Hat Briefings & Training, Las Vegas July 24-29 -<BR>digital self defense, 
  top technical experts, no vendor pitches,<BR>unmatched networking 
  opportunities. Visit 
  www.blackhat.com<BR>_______________________________________________<BR>Snort-sigs 
  mailing list<BR>Snort-sigs@lists.sourceforge.net<BR><A 
  href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</A><BR></FONT></P></BLOCKQUOTE>

</BODY>
</HTML>