<div>Hello.  Wouldn't this be "from_server" and not "to_server" along with "$HOME_NET any -> any any" ?</div><div><br></div><div>I could be not understanding this though but if the page is being served I think it should be "from_server".</div>
<div><br></div><div>Cheers.</div><div><br></div><div>-Bad Horse</div><div> The Thoroughbred of SYN<br><br><div class="gmail_quote">On Tue, Mar 20, 2012 at 2:42 PM, Community Signatures <span dir="ltr"><<a href="mailto:lists@...3397...">lists@...3397...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Pretty simple. Content matches pulled from deb package. Sig to detect on<br>
access of keystrokes/webhistory/etc webpage served from iOS device.<br>
Match on the page served up at offset 000109da in MobileSafe.dylib<br>
<br>
alert tcp any any -> $HOME_NET 8888<br>
(msg:"ET POLICY iOS Keylogger iKeyMonitor device access";<br>
flow:to_server,established;<br>
content:"/><title>Keystrokes - iKeyMonitor</title><style ";<br>
reference:url,<a href="http://moreinfo.thebigboss.org/moreinfo/depiction.php?file=ikeymonitorDp" target="_blank">moreinfo.thebigboss.org/moreinfo/depiction.php?file=ikeymonitorDp</a>;<br>
threshold:type limit, track by_src, count 1, seconds 600;<br>
classtype:policy-violation"; sid:x; rev:1;)<br>
<br>
Thanks,<br>
Nathan<br>
<br>
<br>
------------------------------------------------------------------------------<br>
This SF email is sponsosred by:<br>
Try Windows Azure free for 90 days Click Here<br>
<a href="http://p.sf.net/sfu/sfd2d-msazure" target="_blank">http://p.sf.net/sfu/sfd2d-msazure</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div><br></div>