Hi,<div><br></div><div>I'm trying to minimise false positives on our primary snort IDS - this is one of the alerts which seems to trigger quite often. The archives show me the same question was asked in 2007 with no answer.</div>
<div><br></div><div>Sample packet:</div><div><br></div><div><div><a href="http://ww.quivamail.com/go/?434C4A415E575F43435544534B4D5B4841">ww.quivamail.com/go/?434C4A415E575F43435544534B4D5B4841</a></div><div>[2 non-ASCII characters]</div>
<div>Report Abuse: <a href="mailto:abuse@...3506...">abuse@...3506...</a></div><div>[2 non-ASCII characters]</div><div>--------=_NextPart_000_0030_01.1277703939358</div><div>[2 non-ASCII characters]</div><div>Content-Type: text/html;</div>
<div>[3 non-ASCII characters]</div><div>charset="iso-8859-1"</div><div>[2 non-ASCII characters]</div><div>Content-Transfer-Encoding: 8bit </div><div>[4 non-ASCII characters]</div><div><zoostart /></div><div>
[2 non-ASCII characters]</div><div><html><head><meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type"><title></title></head><body><meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><meta name="ProgId" content="Word.Document"><meta name="Generator" content="Microsoft Word 11"><meta name="Originator" content="Microsoft Word 11"><link rel="File-List" href="file:///C:%5CDOCUME%7E1%5CJBRESO%7E1%5CLOCALS%7E1%5CTemp%5Cmsohtml1%5C01%5Cclip_filelist.xml"><link rel="Edit-Time-Data" </div>
<div>[2 non-ASCII characters]</div><div>href="file:///C:%5CDOCUME%7E1%5CJBRESO%7E1%5CLOCALS%7E1%5CTemp%5Cmsohtml1%5C01%5Cclip_editdata.mso"><!--[if !mso]><style> v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);} </style><![</div>
</div><div><br></div><div><br></div><div>This alert is triggered by (after finding Content-Type: text/html)</div><div><br></div><div>pcre:"/.*<[^>]*href[^>]*(file\x3A|[cC]\x3A|\\\\).*>/";</div><div><br>
</div><div>Which would indicate to me that a link to any local file will fire the alert. What have others done with this rule? </div><div><br></div><div>Cheers,</div><div>Chris</div>