<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
..MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Thanks for replying James<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>>> </span>Try adding -k none to your command line.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I was using –knone so I changed that but still no hits…<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>/usr/local/bin/snort -c /etc/snort/snort.conf -Acmg -k none -r /tmp/snort_pcap_dump.cap 2> /dev/null<o:p></o:p></p><p class=MsoNormal>/usr/local/bin/snort -c ./snort-2.9.5.3/etc/snort.conf -Acmg -k none -r /tmp/snort_pcap_dump.cap 2> /dev/null<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>This seems to work for everyone right out of the box so I am really at a loss why I can’t get it alerting…<o:p></o:p></p><p class=MsoNormal>I’m using 2.9.5.3 but will try a fresh install of 2.9.6 and try again.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Again much thanks!<o:p></o:p></p><p class=MsoNormal>Kind regards,<o:p></o:p></p><p class=MsoNormal>Jason<o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> James Lay [mailto:jlay@...3320...266...] <br><b>Sent:</b> Monday, February 03, 2014 8:01 AM<br><b>To:</b> snort-sigs@lists.sourceforge.net<br><b>Subject:</b> Re: [Snort-sigs] getting sensitive-data cc# alert to fire<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>On Mon, 2014-02-03 at 07:30 -0500, jason wrote: <o:p></o:p></p><pre><o:p> </o:p></pre><pre>I found this old thread about getting the alerts to fire with a single hit<o:p></o:p></pre><pre>(I can't get it to alert at all):<o:p></o:p></pre><pre><a href="http://seclists.org/snort/2011/q1/983">http://seclists.org/snort/2011/q1/983</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I ran my pcap dump (contains CC#'s in the payload) through snort and still<o:p></o:p></pre><pre>no hits:<o:p></o:p></pre><pre>$ /usr/local/bin/snort -c /etc/snort/snort.conf -Acmg -knone -r<o:p></o:p></pre><pre>/tmp/snort_pcap_dump.cap 2> /dev/null<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I then tried running it using the generic snort.conf and still no alert:<o:p></o:p></pre><pre>/usr/local/bin/snort -c ../snort-2.9.5.3/etc/snort.conf -Acmg -knone -r<o:p></o:p></pre><pre>/tmp/snort_pcap_dump.cap 2> /dev/null<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Here is a packet in the dump file that was captured with the fake CC#'s:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>0000  00 12 da bd 7a d8 00 23  e9 3e 95 47 81 00 0f fe   ....z..# ..>.G....<o:p></o:p></pre><pre>0010  08 00 45 00 00 e2 b6 35  40 00 3f 06 b6 4a cc 5d   ..E....5 @.?..J.]<o:p></o:p></pre><pre>0020  80 87 40 b3 40 fe ef 2e  00 15 53 7a fd 48 e6 99   <a href="mailto:..@...180...@">..@...2089....@</a>... ...Sz.H..<o:p></o:p></pre><pre>0030  73 60 80 18 00 1d 4c fc  00 00 01 01 08 0a 5b da   s`....L. .......[.<o:p></o:p></pre><pre>0040  8c 6f 1c 74 2a af 36 30  31 31 31 31 31 31 31 31   .o.t*.60 11111111<o:p></o:p></pre><pre>0050  31 31 31 31 31 37 0a 36  30 31 31 30 30 30 39 39   111117.6 01100099<o:p></o:p></pre><pre>0060  30 31 33 39 34 32 34 0a  34 31 31 31 2d 31 31 31   0139424. 4111-111<o:p></o:p></pre><pre>0070  31 2d 31 31 31 31 2d 31  31 31 31 0a 33 37 38 32   1-1111-1 111.3782<o:p></o:p></pre><pre>0080  38 32 32 34 36 33 31 30  30 30 35 0a 34 31 31 31   82246310 005.4111<o:p></o:p></pre><pre>0090  31 31 31 31 31 31 31 31  31 31 31 31 0a 34 31 31   11111111 1111.411<o:p></o:p></pre><pre>00a0  31 31 31 31 31 31 31 31  31 31 31 31 31 0a 34 31   11111111 11111.41<o:p></o:p></pre><pre>00b0  31 31 2d 31 31 31 31 2d  31 31 31 31 2d 31 31 31   11-1111- 1111-111<o:p></o:p></pre><pre>00c0  31 0a 36 30 31 31 31 31  31 31 31 31 31 31 31 31   1.601111 11111111<o:p></o:p></pre><pre>00d0  31 37 0a 36 30 31 31 30  30 30 39 39 30 31 33 39   17.60110 00990139<o:p></o:p></pre><pre>00e0  34 32 34 0a 33 37 38 32  38 32 32 34 36 33 31 30   424.3782 82246310<o:p></o:p></pre><pre>00f0  30 30 35 0a                                        005.     <o:p></o:p></pre><pre><o:p> </o:p></pre><pre>In this view the CC#'s are a little scrambled but when I follow the TCP<o:p></o:p></pre><pre>stream in wireshark, they are clearly shown.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I am totally at a loss why I can't get this working... anyone have any<o:p></o:p></pre><pre>advice or something else I might be able to look at?<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Thanks for any help<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>-----Original Message-----<o:p></o:p></pre><pre>From: jason [<a href="mailto:jason@...3880...">mailto:jason@...3880...</a>] <o:p></o:p></pre><pre>Sent: Saturday, February 01, 2014 9:45 AM<o:p></o:p></pre><pre>To: 'Snort-sigs'<o:p></o:p></pre><pre>Subject: Re: [Snort-sigs] getting sensitive-data cc# alert to fire<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>HI!<o:p></o:p></pre><pre>I'm trying to get the sensitive-data CC# alert to fire but I'm having<o:p></o:p></pre><pre>trouble making it happen.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Here's what I'm trying and what I've got:<o:p></o:p></pre><pre>Snort.conf:<o:p></o:p></pre><pre>preprocessor sensitive_data: alert_threshold 3<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>This is the rule that came with pulledpork but I can't get it to fire:<o:p></o:p></pre><pre>alert tcp $HOME_NET any -> $EXTERNAL_NET [80,20,25,143,110]<o:p></o:p></pre><pre>(msg:"SENSITIVE-DATA Credit Card Numbers"; metadata:service http, service<o:p></o:p></pre><pre>smtp, service ftp-data, service imap, service pop3;<o:p></o:p></pre><pre>sd_pattern:2,credit_card; classtype:sdf; sid:2; gid:138; rev:1;)<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I made this my only rule in snort and I modified it trying to make it easier<o:p></o:p></pre><pre>to fire and alert but still no luck:<o:p></o:p></pre><pre>alert tcp $HOME_NET any -> any any (msg:"SENSITIVE-DATA Credit Card<o:p></o:p></pre><pre>Numbers"; sd_pattern:2,credit_card; classtype:sdf; sid:2; gid:138; rev:1;)<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I then send a mail or use netcat and send clear text CC#'s but still can't<o:p></o:p></pre><pre>get it to fire.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I ran a tcpdump while sending the CC#'s and I can see the CC#'s in the<o:p></o:p></pre><pre>payload (of course).<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I ran snort with DAQ dump to pcap and that sees the CC#'s too!<o:p></o:p></pre><pre>/usr/local/bin/snort -i eth0.4094 -Q --daq dump --daq-var load-mode=passive<o:p></o:p></pre><pre>--daq-var file=/tmp/snort_pcap_dump.cap<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Could it be something with my Stream5 config?<o:p></o:p></pre><pre>Is my testing method whack?<o:p></o:p></pre><pre>I'm missing something simple I think...<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Thanks for any advice<o:p></o:p></pre><pre><o:p> </o:p></pre><pre># sorry if this becomes a duplicate - I get all the mail so I thought I was<o:p></o:p></pre><pre>a member already but I got bounce saying I wasn't... so I signed up again<o:p></o:p></pre><pre>and I'm reposting this and cancelled the original.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>---<o:p></o:p></pre><pre>This email is free from viruses and malware because avast! Antivirus<o:p></o:p></pre><pre>protection is active.<o:p></o:p></pre><pre><a href="http://www.avast.com">http://www.avast.com</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>----------------------------------------------------------------------------<o:p></o:p></pre><pre>--<o:p></o:p></pre><pre>WatchGuard Dimension instantly turns raw network data into actionable<o:p></o:p></pre><pre>security intelligence. It gives you real-time visual feedback on key<o:p></o:p></pre><pre>security issues and trends.  Skip the complicated setup - simply import a<o:p></o:p></pre><pre>virtual appliance and go from zero to informed in seconds.<o:p></o:p></pre><pre><a href="http://pubads.g.doubleclick.net/gampad/clk?id=123612991&iu=/4140/ostg.clktrk">http://pubads.g.doubleclick.net/gampad/clk?id=123612991&iu=/4140/ostg.clktrk</a><o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>Snort-sigs mailing list<o:p></o:p></pre><pre><a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</a><o:p></o:p></pre><pre><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><o:p></o:p></pre><pre><a href="http://www.snort.org">http://www.snort.org</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> for the latest news about Snort!<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>---<o:p></o:p></pre><pre>This email is free from viruses and malware because avast! Antivirus protection is active.<o:p></o:p></pre><pre><a href="http://www.avast.com">http://www.avast.com</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>------------------------------------------------------------------------------<o:p></o:p></pre><pre>Managing the Performance of Cloud-Based Applications<o:p></o:p></pre><pre>Take advantage of what the Cloud has to offer - Avoid Common Pitfalls.<o:p></o:p></pre><pre>Read the Whitepaper.<o:p></o:p></pre><pre><a href="http://pubads.g.doubleclick.net/gampad/clk?id=121051231&iu=/4140/ostg.clktrk">http://pubads.g.doubleclick.net/gampad/clk?id=121051231&iu=/4140/ostg.clktrk</a><o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>Snort-sigs mailing list<o:p></o:p></pre><pre><a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...680...orge.net</a><o:p></o:p></pre><pre><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><o:p></o:p></pre><pre><a href="http://www.snort.org">http://www.snort.org</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> for the latest news about Snort!<o:p></o:p></pre><p class=MsoNormal><br>Try adding -k none to your command line.<br><br>James <o:p></o:p></p></div>
<br /><br />
<hr style='border:none; color:#909090; background-color:#B0B0B0; height: 1px; width: 99%;' />
<table style='border-collapse:collapse;border:none;'>
        <tr>
                <td style='border:none;padding:0px 15px 0px 8px'>
                        <a href="http://www.avast.com/">
                                <img border=0 src="http://static.avast.com/emails/avast-mail-stamp.png" />
                        </a>
                </td>
                <td>
                        <p style='color:#3d4d5a; font-family:"Calibri","Verdana","Arial","Helvetica"; font-size:12pt;'>
                                This email is free from viruses and malware because <a href="http://www.avast.com/">avast! Antivirus</a> protection is active.
                        </p>
                </td>
        </tr>
</table>
<br />
</body></html>