<span style="font-family: courier new,monospace;">Hi list,</span><br style="font-family: courier new,monospace;"><br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;">The rule "ATTACK-RESPONSES id check returned userid" will generate false negatives. The complete rule is:
</span><br style="font-family: courier new,monospace;"><br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;">alert ip $HOME_NET any -> $EXTERNAL_NET any (msg:"ATTACK-RESPONSES id check returned userid"; content:"uid="; byte_test:5,<,65537,0,relative,dec,string; content:" gid="; within:15; byte_test:5,<,65537,0,relative,dec,string; classtype:bad-unknown; sid:1882; rev:12;)
</span><br style="font-family: courier new,monospace;"><br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;">Same examples:</span><br style="font-family: courier new,monospace;">
<span style="font-family: courier new,monospace;">uid=0(root) gid=0(root) groups=0(root) -> works</span><br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;">uid=1001(cees) gid=1001(cees) groups=1001(cees) -> works
</span><br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;">uid=33(www-data) gid=33(www-data) groups=33(www-data) -> false negative</span><br style="font-family: courier new,monospace;">
<br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;">The false negative is caused by the within argument. "uid=" and " gid=" are separated by a total of 17 characters.
</span><br style="font-family: courier new,monospace;"><br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;">uid=33(www-data) gid=33(www-data) groups=33(www-data)</span><br style="font-family: courier new,monospace;">
<span style="font-family: courier new,monospace;">    <-------------></span><br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;">                             15</span><br style="font-family: courier new,monospace;">
<span style="font-family: courier new,monospace;">    <---------------></span><br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;">                           17</span><br style="font-family: courier new,monospace;">
<br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;">The current within setting will cause the rule to fail for every user where the combined length of the uid and username is greater then 9. Suggested solution is to increase the within setting to approx 25/30.
</span><br style="font-family: courier new,monospace;"><br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;">Any thoughts?</span><br style="font-family: courier new,monospace;">
<br style="font-family: courier new,monospace;"><span style="font-family: courier new,monospace;"></span><span style="font-family: courier new,monospace;">Cheers, Cees<br><br></span><span style="font-family: courier new,monospace;">
(BTW in it's default
configuration this rule is currently disabled. Most likely because of
the high probability of false positives from admins.)</span><br>