<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Candara;
        panose-1:2 14 5 2 3 3 3 2 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
@font-face
        {font-family:Georgia;
        panose-1:2 4 5 2 5 4 5 2 3 3;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;}
span.EmailStyle22
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#1F497D">For ftp (or any rule) syntax please visit the website here:
<a href="http://manual.snort.org/node27.html">http://manual.snort.org/node27.html</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Here are some (ftp rules) taken from the community rules available on the snort.org website.
<a href="https://snort.org/downloads">https://snort.org/downloads</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">[alewis@...4076... community-rules]$ cat community.rules | grep ftp | more<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"># alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"PROTOCOL-FTP ADMw0rm ftp login attempt"; flow:to_server,established; content:"USER"; nocase; content:"w0rm"; distance:1; nocase; pcre:"/^USER\s+w0<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">rm/smi"; metadata:ruleset community, service ftp; classtype:suspicious-login; sid:144; rev:16;)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"># alert tcp $EXTERNAL_NET 21 -> $HOME_NET any (msg:"SERVER-OTHER NextFTP client overflow"; flow:to_client,established; content:"|B4| |B4|!|8B CC 83 E9 04 8B 19|3|C9|f|B9 10|"; metadata:ruleset commu<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">nity, service ftp; reference:bugtraq,572; reference:cve,1999-0671; classtype:attempted-user; sid:308; rev:14;)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"># alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"PROTOCOL-FTP .forward"; flow:to_server,established; content:".forward"; metadata:ruleset community, service ftp; classtype:suspicious-filename-det<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">ect; sid:334; rev:12;)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Hope this helps.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D">Albert Lewis<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#888888">QA Software Engineer<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Georgia","serif";color:#999999">SOURCE</span><b><span style="font-size:12.0pt;font-family:"Georgia","serif";color:red">fire</span></b><span style="font-size:12.0pt;font-family:"Georgia","serif";color:#999999">,
 Inc. </span><span style="font-size:12.0pt;font-family:"Georgia","serif";color:#888888">now part of
</span><b><span style="font-size:12.0pt;font-family:"Georgia","serif";color:#31849B">Cisco</span></b><span style="font-size:12.0pt;font-family:"Georgia","serif";color:#888888"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999">9780 Patuxent Woods Drive<br>
Columbia, MD 21046 </span><span style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#888888"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999">Phone: (office) </span><span style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D">443.430.7112<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999">Email:
</span><span style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D">allewi@...3865...</span><span style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#4F81BD"> </span><span style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D"><o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Adam Ring [mailto:adam.ring@...4074...]
<br>
<b>Sent:</b> Thursday, October 22, 2015 8:56 AM<br>
<b>To:</b> snort-sigs@lists.sourceforge.net<br>
<b>Subject:</b> [Snort-sigs] ftp rules<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Hi I am new to snort and was trying to create an ftp rule.  I have downloaded the rules from the website, but in the ftp file there aren’t any rules in there.  I was wondering if that was supposed to be empty and if it is, is there a place
 where I can go to find some examples of ftp rules?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><b><span style="color:#404040">Adam Ring<o:p></o:p></span></b></p>
<p class="MsoNormal"><span style="color:#404040">IT Help Desk Techniction<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#404040">Office 703.677.9540 <o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#404040"><o:p> </o:p></span></p>
<p class="MsoNormal"><a href="http://www.aocsolutions.com/">AOC Solutions</a><b><span style="color:#404040">
</span></b><span style="color:#404040">| Solutions That Pay®<o:p></o:p></span></p>
<p class="MsoNormal"><b><span style="color:#404040"><o:p> </o:p></span></b></p>
<p class="MsoNormal"><a href="http://www.aocsolutions.com/blog">Blog</a><span style="color:#404040"> |
</span><a href="http://www.aocsolutions.com/ap-payment-automation-video">Video</a><span style="color:#404040"> |
</span><a href="https://www.linkedin.com/company/139025?trk=tyah&trkInfo=clickedVertical%3Acompany%2Cidx%3A1-1-1%2CtarId%3A1436380782168%2Ctas%3Aaoc%20solutions">LinkedIn</a><u><span style="color:#404040"><o:p></o:p></span></u></p>
<p class="MsoNormal"><u><span style="color:#404040"><o:p><span style="text-decoration:none"> </span></o:p></span></u></p>
<p class="MsoNormal"><a href="http://www.aocsolutions.com/about-aoc/aoc-in-the-news/aoc-named-top-workplace-by-washington-post"><i><span style="color:windowtext;text-decoration:none"><img border="0" width="148" height="52" id="Picture_x0020_19" src="cid:image001.png@...4077..."></span></i></a><i><o:p></o:p></i></p>
<p class="MsoNormal"><i><o:p> </o:p></i></p>
<p class="MsoNormal"><o:p> </o:p></p>
<pre><o:p> </o:p></pre>
<pre><o:p> </o:p></pre>
<pre>This e-mail and any attachments may contain confidential and privileged<o:p></o:p></pre>
<pre>information. If you are not the intended recipient, please notify the sender<o:p></o:p></pre>
<pre>immediately by return e-mail, delete this e-mail and attachments (if applicable)<o:p></o:p></pre>
<pre>and destroy any copies. Any dissemination or use of this information by a person<o:p></o:p></pre>
<pre>other than the intended recipient is unauthorized and strictly prohibited. You<o:p></o:p></pre>
<pre>may be subject to confidentiality restrictions in an existing contract with AOC<o:p></o:p></pre>
<pre>Solutions, Inc. As a result, you must protect the contents of this communication<o:p></o:p></pre>
<pre>according to such terms and conditions.<o:p></o:p></pre>
</div>
</body>
</html>