Well, we have a rule that fires on that initially..<div><br></div><div>21347</div><div><br></div><div>But it's set to noalert as we think it'll be FP prone.</div><div><br></div><div>Thoughts?<br><br><div class="gmail_quote">
On Tue, Mar 13, 2012 at 11:57 AM, Community Signatures <span dir="ltr"><<a href="mailto:lists@...3397...">lists@...3397...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On 03/13/12 10:43, Joel Esler wrote:<br>
><br>
> So an additional rule may not add value.<br>
<br>
</div>Well, looking at these SIDs that fired they're not so much related to<br>
the initial landing redirect (document.location) which I feel is as<br>
important as the landing page itself.<br>
<br>
The landing page and it's content can vary, however, I believe there to<br>
be value in detection of the specific terse structure of the landing<br>
redirect itself, in this case nothing more than a document.location<br>
statement to the 16-byte hex Blackhole landing page on showthread.php<br>
(VBulletin emulation anyone?)<br>
<br>
I think there's still value in the proposed as there isn't any 1:1<br>
overlap, just SIDs firing *after* landing.  Disagree?<br>
<br>
The PCRE is missing an escape for period in "showthread.php" -- sadly<br>
this still doesn't make it fire (argh).<br>
<br>
Thanks,<br>
Nathan<br>
<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Joel Esler</div><div>Senior Research Engineer, VRT</div><div>OpenSource Community Manager</div><div>Sourcefire</div><br><br>
</div>