<br>Looks good to me!<br><br><div><span class="gmail_quote">On 4/16/07, <b class="gmail_sendername">Jon Hart</b> <<a href="mailto:jhart@...288...">jhart@...288...</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On Mon, Apr 16, 2007 at 12:40:27PM +0200, Cees wrote:<br>> Some additional information:<br>><br>> Version of snort used: <a href="http://2.6.1.2">2.6.1.2</a><br>> Snort.conf configuration:<br>> var HOME_NET [
<a href="http://192.168.247.133/32">192.168.247.133/32</a>]<br>> var EXTERNAL_NET !$HOME_NET<br>> [..]<br>> Preprocessors: frag3, stream4, http_inspect<br>><br>> Command-line options when starting snort:<br>
> snort -u snort -r uid.pcap -l log/ -c snort.conf<br>><br>> Operating system used: Gentoo linux<br>><br>> Attached a sample PCAP file. A client (<a href="http://192.168.247.129">192.168.247.129</a>) retrieves a website
<br>> from the server (<a href="http://192.168.247.133">192.168.247.133</a>) with the string "uid=33(www-data)<br>> gid=33(www-data) groups=33(www-data)".<br><br>I seem to recall discussion about this rule and its potential for
<br>false-negatives sometime in the past.  The further you crank out<br>'within', the greater the chance of a false-positive.  There is<br>definitely room for improvement, IMO, as uid and gid combinations that<br>
are greather than 9 characters in length are quite common.<br><br>Why not pcre for this rule?  'pcre:/uid=\d+\S+\s+gid=\d+\S+'?<br><br>-jon<br></blockquote></div><br>