<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">OOOP!  Forgot to update my rules yesterday.  <div><br></div><div>I'm horrible.  </div><div><br></div><div>J</div><div><br></div><div><div><div>On Feb 16, 2011, at 9:55 AM, Alex Kirk wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">He does - ironically enough, that SID was updated to rev:3 yesterday because the original User-Agent string used in the rule produced FPs with RealPlayer.<div><br></div><div>Digging a bit deeper on "contype", it seems that it has mixed uses - sometimes bots use it (as would have been the case in the malware sandbox), sometimes legit apps use it. We'll dig a different User-Agent out of the DB, vet it more thoroughly, and hopefully the third time will be a charm.<br>
<br><div class="gmail_quote">On Wed, Feb 16, 2011 at 9:52 AM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...435...">jesler@...435...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Are you sure you have the SID right?  My 18372, rev:2, doesn't have that content match in it at all.<br>
<br>
Joel<br>
<div class="im"><br>
On Feb 16, 2011, at 9:43 AM, Weir, Jason wrote:<br>
<br>
> Looks like a client downloading flash content...<br>
><br>
> GET<br>
> /portal/<a href="http://server.pt/gateway/PTARGS_0_2_23634_14364_435710_43/http%3B/pubco" target="_blank">server.pt/gateway/PTARGS_0_2_23634_14364_435710_43/http%3B/pubco</a><br>
> <a href="http://ntent.state.pa.us/publishedcontent/publish/cop_general_government_operat" target="_blank">ntent.state.pa.us/publishedcontent/publish/cop_general_government_operat</a><br>
> ions/sers/branding/flash/animation_homepage2.swf HTTP/1.1<br>
> Accept: */*<br>
> User-Agent: contype<br>
> Host: <a href="http://www.sers.state.pa.us/" target="_blank">www.sers.state.pa.us</a><br>
> Cookie: *****removed******<br>
><br>
> GET /swf/masthead_large.swf HTTP/1.1<br>
> Accept: */*<br>
> User-Agent: contype<br>
> Host: <a href="http://www.wxrv.com/" target="_blank">www.wxrv.com</a><br>
> Cookie: *****removed******<br>
><br>
> GET /multimedia/archive/00379/sivananda_sports_379768a.swf HTTP/1.1<br>
> Accept: */*<br>
> User-Agent: contype<br>
> Host: <a href="http://www.thehindu.com/" target="_blank">www.thehindu.com</a><br>
><br>
> Can we improve on this rule?<br>
><br>
> -J<br>
><br>
<br>
</div><font color="#888888">--<br>
Joel Esler<br>
jesler () <a href="http://sourcefire.com/" target="_blank">sourcefire.com</a><br>
<a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> && <a href="http://blog.clamav.net/" target="_blank">http://blog.clamav.net</a><br>
</font><div><div></div><div class="h5"><br>
<br>
------------------------------------------------------------------------------<br>
The ultimate all-in-one performance toolkit: Intel(R) Parallel Studio XE:<br>
Pinpoint memory and threading errors before they happen.<br>
Find and fix more than 250 security defects in the development cycle.<br>
Locate bottlenecks in serial and parallel code that limit performance.<br>
<a href="http://p.sf.net/sfu/intel-dev2devfeb" target="_blank">http://p.sf.net/sfu/intel-dev2devfeb</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org/" target="_blank">http://www.snort.org</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Alex Kirk<br>AEGIS Program Lead<br>Sourcefire Vulnerability Research Team<br>+1-410-423-1937<br><a href="mailto:alex.kirk@...435...">alex.kirk@...435...</a><br>

</div>
</blockquote></div><br><div>
<span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: 'Lucida Grande'; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: 'Lucida Grande'; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">--<br>Joel Esler<br>jesler () <a href="http://sourcefire.com">sourcefire.com</a><br><a href="http://blog.snort.org">http://blog.snort.org</a> && <a href="http://blog.clamav.net">http://blog.clamav.net</a></div></span></span>
</div>
<br></div></body></html>