<div dir="ltr">Excellent point Nathan. My only concern would be entering the PCRE too often (slight concern).¬†<div><br></div><div>Ideally I'd like to include at least a 'depth' modifier or 'urilen' before the content match. We shall see what comes out of testing!</div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jul 10, 2014 at 12:20 PM, <a href="mailto:lists@...3397...">lists@...3391...7...</a> <span dir="ltr"><<a href="mailto:lists@...3397..." target="_blank">lists@...3397...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On 07/10/2014 11:03 AM, Geoffrey Serrao wrote:<br>
> I've put into testing two rules which should cover both cases.<br>
<br>
</div>I wouldn't fixate on the names in the .html files, they vary. ¬†This is what Ify,<br>
Will, and I came up with on the Emerging-Threats side:<br>
<br>
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS<br>
<a href="http://food.com" target="_blank">food.com</a> compromise hostile JavaScript gate";<br>
flow:established,to_server;<br>
content:".html?0."; http_uri; fast_pattern:only;<br>
pcre:"/\/[a-z]{1,3}\.html\?0\.[0-9]+[a-z]?$/U"; classtype:trojan-activity;<br>
sid:2018505; rev:4;)<br>
<br>
Hmm, that's strange, the [a-z] should be {1,6} not {1,3} -- letting Will know now.<br>
<br>
Cheers,<br>
Nathan Fowler<br>
</blockquote></div><br></div>