<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
The “community” portal, which is referred to in the thread, the False Positive Submission portal on
<a href="http://snort.org" class="">Snort.org</a>.  It goes to our analysts for FP fixes.
<div class=""><br class="">
</div>
<div class=""><br class="">
<div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div style="margin: 0px; line-height: normal; font-family: 'Lucida Grande';" class="">
--</div>
<div style="margin: 0px; line-height: normal; font-family: 'Lucida Grande';" class="">
<b class="">Joel Esler</b></div>
<div style="margin: 0px; line-height: normal; font-family: 'Lucida Grande';" class="">
Manager, Talos Group</div>
<div style="margin: 0px; line-height: normal; font-family: 'Helvetica Neue';" class="">
<br class="">
</div>
</div>
</div>
<br class="Apple-interchange-newline">
<br class="Apple-interchange-newline">
</div>
<br class="">
<div>
<blockquote type="cite" class="">
<div class="">On Oct 27, 2015, at 1:24 PM, Ankit singh <<a href="mailto:ankitsingh5934@...2420..." class="">ankitsingh5934@...2420...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div dir="ltr" class="">From where can i get the link for donwloading the pcap uploaded on community portal, as mentioned below? for neutrino
<div class=""><br class="">
</div>
<div class="">Thanks,</div>
<div class="">Ankit<br class="">
<div class="gmail_extra"><br class="">
<div class="gmail_quote">On Tue, Oct 27, 2015 at 8:44 PM, <span dir="ltr" class="">
<<a href="mailto:snort-sigs-request@lists.sourceforge.net" target="_blank" class="">snort-sigs-request@lists.sourceforge.net</a>></span> wrote:<br class="">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Send Snort-sigs mailing list submissions to<br class="">
        <a href="mailto:snort-sigs@lists.sourceforge.net" class="">snort-sigs@lists.sourceforge.net</a><br class="">
<br class="">
To subscribe or unsubscribe via the World Wide Web, visit<br class="">
        <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" target="_blank" class="">
https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br class="">
or, via email, send a message with subject or body 'help' to<br class="">
        <a href="mailto:snort-sigs-request@lists.sourceforge.net" class="">snort-sigs-request@lists.sourceforge.net</a><br class="">
<br class="">
You can reach the person managing the list at<br class="">
        <a href="mailto:snort-sigs-owner@lists.sourceforge.net" class="">snort-sigs-owner@lists.sourceforge.net</a><br class="">
<br class="">
When replying, please edit your Subject line so it is more specific<br class="">
than "Re: Contents of Snort-sigs digest..."<br class="">
<br class="">
<br class="">
Today's Topics:<br class="">
<br class="">
   1. Snort Logs (<a href="mailto:buzzlightstory@...2420..." class="">buzzlightstory@...2420...</a>)<br class="">
   2. lots of false positives, Neutrino (<a href="mailto:Grant.Sims@...4079..." class="">Grant.Sims@...4079...</a>)<br class="">
<br class="">
<br class="">
----------------------------------------------------------------------<br class="">
<br class="">
Message: 1<br class="">
Date: Sat, 24 Oct 2015 21:41:59 +0100<br class="">
From: <a href="mailto:buzzlightstory@...2420..." class="">buzzlightstory@...2420...</a><br class="">
Subject: [Snort-sigs] Snort Logs<br class="">
To: <a href="mailto:snort-sigs@lists.sourceforge.net" class="">snort-sigs@lists.sourceforge.net</a><br class="">
Message-ID: <<a href="mailto:8A12B0A0-9D2B-47CB-A28F-691CE76B1444@...2420..." class="">8A12B0A0-9D2B-47CB-A28F-691CE76B1444@...2420...</a>><br class="">
Content-Type: text/plain;       charset=us-ascii<br class="">
<br class="">
Dear All,<br class="">
<br class="">
I'm have problems logging my snort alert as the log file in '/var/log/snort.log' is always empty. I've also tried some output plugins like alert_full, alert_fast and syslog but they are all empty files. Please help as I'm stuck.  I'm running snort under Linux
 :))<br class="">
<br class="">
<br class="">
<br class="">
<br class="">
------------------------------<br class="">
<br class="">
Message: 2<br class="">
Date: Fri, 23 Oct 2015 17:32:58 +0000<br class="">
From: <<a href="mailto:Grant.Sims@...4079..." class="">Grant.Sims@...4079...</a>><br class="">
Subject: [Snort-sigs] lots of false positives, Neutrino<br class="">
To: <<a href="mailto:snort-sigs@lists.sourceforge.net" class="">snort-sigs@lists.sourceforge.net</a>><br class="">
Message-ID:<br class="">
        <<a href="mailto:067A3D7A9D5A244D87B7E94EA2D369FAE31B7F80@...4080..." class="">067A3D7A9D5A244D87B7E94EA2D369FAE31B7F80@...4080...</a>><br class="">
Content-Type: text/plain; charset="us-ascii"<br class="">
<br class="">
I was looking at my snort alerts on SecurityOnion today and noticed a TON of alerts for "EXPLOIT-KIT Neutrino exploit kit landing page detected" (rule screenshot is attached)<br class="">
<br class="">
<br class="">
<br class="">
looking at the rules for the past two years I have not seen many false positives on exploit kit landing pages. however this seem to be coming in for a wide range of users and a wide range of sites (everything from dell to evite to bing domains)<br class="">
<br class="">
<br class="">
<br class="">
Just curious  if other people out there are experiencing this. with how wide range it is and no other rules indicating compromise i believe it is a false positive however with the current uptick in Neutrino exploit kits in the wild I thought i would submit
 something here.<br class="">
<br class="">
<br class="">
<br class="">
<br class="">
<br class="">
Thanks!<br class="">
<br class="">
Grant<br class="">
<br class="">
-------------- next part --------------<br class="">
An HTML attachment was scrubbed...<br class="">
-------------- next part --------------<br class="">
A non-text attachment was scrubbed...<br class="">
Name: snortrule.jpg<br class="">
Type: image/jpeg<br class="">
Size: 56811 bytes<br class="">
Desc: snortrule.jpg<br class="">
<br class="">
------------------------------<br class="">
<br class="">
------------------------------------------------------------------------------<br class="">
<br class="">
<br class="">
------------------------------<br class="">
<br class="">
_______________________________________________<br class="">
Snort-sigs mailing list<br class="">
<a href="mailto:Snort-sigs@lists.sourceforge.net" class="">Snort-sigs@lists.sourceforge.net</a><br class="">
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" target="_blank" class="">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br class="">
<a href="http://www.snort.org/" rel="noreferrer" target="_blank" class="">http://www.snort.org</a><br class="">
<br class="">
<br class="">
Please visit <a href="http://blog.snort.org/" rel="noreferrer" target="_blank" class="">
http://blog.snort.org</a> for the latest news about Snort!<br class="">
<br class="">
End of Snort-sigs Digest, Vol 113, Issue 16<br class="">
*******************************************<br class="">
</blockquote>
</div>
<br class="">
<br clear="all" class="">
<div class=""><br class="">
</div>
-- <br class="">
<div class="gmail_signature">
<div dir="ltr" class="">
<div class="">Warm Regards,</div>
<div class=""><br class="">
</div>
<div class="">Ankit singh</div>
<div class=""><br class="">
</div>
<div class="">
<div class=""><br class="">
</div>
</div>
</div>
</div>
</div>
</div>
</div>
------------------------------------------------------------------------------<br class="">
_______________________________________________<br class="">
Snort-sigs mailing list<br class="">
<a href="mailto:Snort-sigs@lists.sourceforge.net" class="">Snort-sigs@lists.sourceforge.net</a><br class="">
https://lists.sourceforge.net/lists/listinfo/snort-sigs<br class="">
http://www.snort.org<br class="">
<br class="">
<br class="">
Please visit http://blog.snort.org for the latest news about Snort!</div>
</blockquote>
</div>
<br class="">
</div>
</body>
</html>