<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"><base href="x-msg://1545/"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">gen_id 3, sig_id <span style="font-family: Arial, sans-serif; font-size: 10pt; ">21355</span><div><font face="Arial, sans-serif"><span style="font-size: 13px;"><br></span></font></div><div><font face="Arial, sans-serif"><span style="font-size: 13px;">should suppress it.</span></font></div><div><font face="Arial, sans-serif"><span style="font-size: 13px;"><br></span></font><div><div>On Aug 29, 2012, at 2:54 PM, Tony Reusser <<a href="mailto:treusser@...3727...">treusser@...3727...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div bgcolor="white" lang="EN-US" link="blue" vlink="purple" style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div class="WordSection1" style="page: WordSection1; "><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(31, 73, 125); ">How do you suppress it?<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(31, 73, 125); "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(31, 73, 125); ">It is a shared-object dynamic rule that does not have a gen-id/sig-id in gen-msg.map.<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(31, 73, 125); "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(31, 73, 125); ">I’m following the recommended procedure by putting it in the ‘disablesid.conf’ file when running pulledpork.  I even tried the ‘-E’ option so only enabled rules get written to the outfile (so the rule doesn’t even exist anymore) and I STILL get the alerts!!!<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(31, 73, 125); "> </span></div><div><div style="border-style: solid none none; border-top-width: 1pt; border-top-color: rgb(181, 196, 223); padding: 3pt 0in 0in; "><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; ">From:</span></b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; "><span class="Apple-converted-space"> </span><a href="mailto:mlarchuleta@...2420..." style="color: purple; text-decoration: underline; ">mlarchuleta@...2420...</a><span class="Apple-converted-space"> </span>[mailto:mlarchuleta@<a href="http://gmail.com" style="color: purple; text-decoration: underline; ">gmail.com</a>]<span class="Apple-converted-space"> </span><br><b>Sent:</b><span class="Apple-converted-space"> </span>Wednesday, August 29, 2012 12:45 PM<br><b>To:</b><span class="Apple-converted-space"> </span>Tony Reusser<br><b>Subject:</b><span class="Apple-converted-space"> </span>Re: [Snort-sigs] Disabled rule still alerting<o:p></o:p></span></div></div></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">Suppress the rule, don't comment it out.<br><br>Sent from my iPhone<o:p></o:p></div></div><div><p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 11pt; font-family: Calibri, sans-serif; "><br>On Aug 29, 2012, at 12:15 PM, "Tony Reusser" <<a href="mailto:treusser@...3727..." style="color: purple; text-decoration: underline; ">treusser@...3727...</a>> wrote:<o:p></o:p></p></div><blockquote style="margin-top: 5pt; margin-bottom: 5pt; "><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">I’ve recently installed the latest 2.9.3.0 VRT ruleset along with the latest ET rules (as of 8/27)<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "> <o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">I’m getting TONS of hits for the following:<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "> <o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">3:21355 (BAD-TRAFFIC potential dns cache poisoning attempt - mismatched txid)<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "> <o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">Here is my disablesid.conf:<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "> <o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "># BAD-TRAFFIC</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; ">MS10-024,cve:2010-1690,3:21355,3:19187</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "># GPL ICMP_INFO</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; ">1:2100368,1:2100366</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "># SMTP</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; ">1:2000328</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "># DNS</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; ">1:2003195</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; ">Here is an excerpt from my ‘snort.rules’ showing it is indeed commented-out:</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "># alert udp $EXTERNAL_NET 53 -> $HOME_NET any (msg:"BAD-TRAFFIC potential dns cache poisoning attempt - mismatched txid"; sid:21355; gid:3; rev:2; classtype:attempted-recon; reference:cve,2010-1690; reference:url,<a href="http://technet.microsoft.com/en-us/security/bulletin/MS10-024" style="color: purple; text-decoration: underline; ">technet.microsoft.com/en-us/security/bulletin/MS10-024</a>; metadata: engine shared, soid 3|21355;)</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; ">Yet, I continue to get thousands of alerts.  Can anybody help me figure out how to turn these off?</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; ">Thanks</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; ">Tony</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 10pt; font-family: Arial, sans-serif; background-color: rgb(221, 221, 221); "> </span><o:p></o:p></div></blockquote><blockquote style="margin-top: 5pt; margin-bottom: 5pt; "><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 12pt; font-family: 'Times New Roman', serif; ">------------------------------------------------------------------------------<br>Live Security Virtual Conference<br>Exclusive live event will cover all the ways today's security and<span class="Apple-converted-space"> </span><br>threat landscape has changed and how IT managers can respond. Discussions<span class="Apple-converted-space"> </span><br>will include endpoint security, mobile security and the latest in malware<span class="Apple-converted-space"> </span><br>threats.<span class="Apple-converted-space"> </span><a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" style="color: purple; text-decoration: underline; ">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><o:p></o:p></span></div></blockquote><blockquote style="margin-top: 5pt; margin-bottom: 5pt; "><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 12pt; font-family: 'Times New Roman', serif; ">_______________________________________________<br>Snort-sigs mailing list<br><a href="mailto:Snort-sigs@lists.sourceforge.net" style="color: purple; text-decoration: underline; ">Snort-sigs@lists.sourceforge.net</a><br><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" style="color: purple; text-decoration: underline; ">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br><a href="http://www.snort.org" style="color: purple; text-decoration: underline; ">http://www.snort.org</a><br><br><br>Please visit<span class="Apple-converted-space"> </span><a href="http://blog.snort.org" style="color: purple; text-decoration: underline; ">http://blog.snort.org</a><span class="Apple-converted-space"> </span>for the latest news about Snort!<o:p></o:p></span></div></blockquote></div>------------------------------------------------------------------------------<br>Live Security Virtual Conference<br>Exclusive live event will cover all the ways today's security and<span class="Apple-converted-space"> </span><br>threat landscape has changed and how IT managers can respond. Discussions<span class="Apple-converted-space"> </span><br>will include endpoint security, mobile security and the latest in malware<span class="Apple-converted-space"> </span><br>threats.<span class="Apple-converted-space"> </span><a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/_______________________________________________" style="color: purple; text-decoration: underline; ">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/_______________________________________________</a><br>Snort-sigs mailing list<br><a href="mailto:Snort-sigs@...3423...ge.net" style="color: purple; text-decoration: underline; ">Snort-sigs@...1708...sts.sourceforge.net</a><br><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" style="color: purple; text-decoration: underline; ">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br><a href="http://www.snort.org" style="color: purple; text-decoration: underline; ">http://www.snort.org</a><br><br><br>Please visit<span class="Apple-converted-space"> </span><a href="http://blog.snort.org" style="color: purple; text-decoration: underline; ">http://blog.snort.org</a><span class="Apple-converted-space"> </span>for the latest news about Snort!</div></blockquote></div><br></div></body></html>