<html><body><div style="color:#000; background-color:#fff; font-family:verdana, helvetica, sans-serif;font-size:10pt"><div><span>Thanks Joel. =)</span></div><div><br></div>  <div style="font-family: verdana, helvetica, sans-serif; font-size: 10pt; "> <div style="font-family: 'times new roman', 'new york', times, serif; font-size: 12pt; "> <div dir="ltr"> <font size="2" face="Arial"> <hr size="1">  <b><span style="font-weight:bold;">From:</span></b> Joel Esler <jesler@...435...><br> <b><span style="font-weight: bold;">To:</span></b> yew chuan Ong <yewchuan_23@...3725......> <br><b><span style="font-weight: bold;">Cc:</span></b> "snort-sigs@lists.sourceforge.net" <snort-sigs@lists.sourceforge.net> <br> <b><span style="font-weight: bold;">Sent:</span></b> Monday, August 20, 2012 9:38 PM<br> <b><span style="font-weight: bold;">Subject:</span></b> Re: [Snort-sigs] WEB-MISC backup access<br> </font> </div> <br>
<div id="yiv427954054"><div><div><div>On Aug 20, 2012, at 2:51 AM, yew chuan Ong <<a rel="nofollow" ymailto="mailto:yewchuan_23@...144..." target="_blank" href="mailto:yewchuan_23@...144...">yewchuan_23@...144...</a>> wrote:</div><br class="yiv427954054Apple-interchange-newline"><blockquote type="cite"><div style="font-family: verdana, helvetica, sans-serif; font-size: 10pt; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; ">Appreciate if anyone would like to share the intention of this sig - <span style="font-size:13px;">WEB-MISC backup access. The keyword is pretty weak, and it is disable by default.</span></div><div style="font-family: verdana, helvetica, sans-serif; font-size: 10pt; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height:
 normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; "><br></div><div style="font-family: verdana, helvetica, sans-serif; font-size: 13px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; "><font face="verdana, helvetica, sans-serif" size="2"># alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC backup access"; flow:to_server,established; content:"/backup"; nocase; http_uri; classtype:attempted-recon; sid:1213; rev:9;)</font></div></blockquote></div><br><div>It looks for a simple access to the URI /backup on any of your webservers.  This is a generic sig, and, as you mentioned, is not on in the default policy.  (It's actually not in any policies).</div><div><br></div><div><div>--</div><div>Joel
 Esler</div><div>Senior Research Engineer, VRT</div><div>OpenSource Community Manager</div><div>Sourcefire</div></div></div></div><br><br> </div> </div>  </div></body></html>