<div dir="ltr"><span style="color:rgb(0,0,0);font-family:'courier new',courier,monospace;font-size:16px;font-weight:600">Thanks Joel for your reply, But I am interested in the pcap which is uploaded by other members. So I wanted the path/link from where I can download the pcap uploaded by other community members. </span></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 28, 2015 at 2:54 AM, Joel Esler (jesler) <span dir="ltr"><<a href="mailto:jesler@...3865..." target="_blank">jesler@...3865...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word">
The “community” portal, which is referred to in the thread, the False Positive Submission portal on
<a href="http://snort.org" target="_blank">Snort.org</a>.  It goes to our analysts for FP fixes.
<div><br>
</div>
<div><br>
<div>
<div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word">
<div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word">
<div style="margin:0px;line-height:normal;font-family:'Lucida Grande'">
--</div>
<div style="margin:0px;line-height:normal;font-family:'Lucida Grande'">
<b>Joel Esler</b></div>
<div style="margin:0px;line-height:normal;font-family:'Lucida Grande'">
Manager, Talos Group</div>
<div style="margin:0px;line-height:normal;font-family:'Helvetica Neue'">
<br>
</div>
</div>
</div>
<br>
<br>
</div>
<br>
<div>
<blockquote type="cite"><div><div class="h5">
<div>On Oct 27, 2015, at 1:24 PM, Ankit singh <<a href="mailto:ankitsingh5934@...2420..." target="_blank">ankitsingh5934@...2420...</a>> wrote:</div>
<br>
</div></div><div><div><div class="h5">
<div dir="ltr">From where can i get the link for donwloading the pcap uploaded on community portal, as mentioned below? for neutrino
<div><br>
</div>
<div>Thanks,</div>
<div>Ankit<br>
<div class="gmail_extra"><br>
<div class="gmail_quote">On Tue, Oct 27, 2015 at 8:44 PM, <span dir="ltr">
<<a href="mailto:snort-sigs-request@lists.sourceforge.net" target="_blank">snort-sigs-request@lists.sourceforge.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Send Snort-sigs mailing list submissions to<br>
        <a href="mailto:snort-sigs@...1744...net" target="_blank">snort-sigs@lists.sourceforge.net</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" target="_blank">
https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:snort-sigs-request@...551...ceforge.net" target="_blank">snort-sigs-request@lists.sourceforge.net</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:snort-sigs-owner@...639...forge.net" target="_blank">snort-sigs-owner@lists.sourceforge.net</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Snort-sigs digest..."<br>
<br>
<br>
Today's Topics:<br>
<br>
   1. Snort Logs (<a href="mailto:buzzlightstory@...2420..." target="_blank">buzzlightstory@...2420...</a>)<br>
   2. lots of false positives, Neutrino (<a href="mailto:Grant.Sims@...4079..." target="_blank">Grant.Sims@...4079...</a>)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Sat, 24 Oct 2015 21:41:59 +0100<br>
From: <a href="mailto:buzzlightstory@...2420..." target="_blank">buzzlightstory@...2420...</a><br>
Subject: [Snort-sigs] Snort Logs<br>
To: <a href="mailto:snort-sigs@lists.sourceforge.net" target="_blank">snort-sigs@lists.sourceforge.net</a><br>
Message-ID: <<a href="mailto:8A12B0A0-9D2B-47CB-A28F-691CE76B1444@...1447...420..." target="_blank">8A12B0A0-9D2B-47CB-A28F-691CE76B1444@...2420...</a>><br>
Content-Type: text/plain;       charset=us-ascii<br>
<br>
Dear All,<br>
<br>
I'm have problems logging my snort alert as the log file in '/var/log/snort.log' is always empty. I've also tried some output plugins like alert_full, alert_fast and syslog but they are all empty files. Please help as I'm stuck.  I'm running snort under Linux
 :))<br>
<br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Fri, 23 Oct 2015 17:32:58 +0000<br>
From: <<a href="mailto:Grant.Sims@...4079..." target="_blank">Grant.Sims@...4079...</a>><br>
Subject: [Snort-sigs] lots of false positives, Neutrino<br>
To: <<a href="mailto:snort-sigs@lists.sourceforge.net" target="_blank">snort-sigs@lists.sourceforge.net</a>><br>
Message-ID:<br>
        <<a href="mailto:067A3D7A9D5A244D87B7E94EA2D369FAE31B7F80@...4080..." target="_blank">067A3D7A9D5A244D87B7E94EA2D369FAE31B7F80@...4080...</a>><br>
Content-Type: text/plain; charset="us-ascii"<br>
<br>
I was looking at my snort alerts on SecurityOnion today and noticed a TON of alerts for "EXPLOIT-KIT Neutrino exploit kit landing page detected" (rule screenshot is attached)<br>
<br>
<br>
<br>
looking at the rules for the past two years I have not seen many false positives on exploit kit landing pages. however this seem to be coming in for a wide range of users and a wide range of sites (everything from dell to evite to bing domains)<br>
<br>
<br>
<br>
Just curious  if other people out there are experiencing this. with how wide range it is and no other rules indicating compromise i believe it is a false positive however with the current uptick in Neutrino exploit kits in the wild I thought i would submit
 something here.<br>
<br>
<br>
<br>
<br>
<br>
Thanks!<br>
<br>
Grant<br>
<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
-------------- next part --------------<br>
A non-text attachment was scrubbed...<br>
Name: snortrule.jpg<br>
Type: image/jpeg<br>
Size: 56811 bytes<br>
Desc: snortrule.jpg<br>
<br>
------------------------------<br>
<br>
------------------------------------------------------------------------------<br>
<br>
<br>
------------------------------<br>
<br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net" target="_blank">Snort-sigs@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org/" rel="noreferrer" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org/" rel="noreferrer" target="_blank">
http://blog.snort.org</a> for the latest news about Snort!<br>
<br>
End of Snort-sigs Digest, Vol 113, Issue 16<br>
*******************************************<br>
</blockquote>
</div>
<br>
<br clear="all">
<div><br>
</div>
-- <br>
<div>
<div dir="ltr">
<div>Warm Regards,</div>
<div><br>
</div>
<div>Ankit singh</div>
<div><br>
</div>
<div>
<div><br>
</div>
</div>
</div>
</div>
</div>
</div>
</div></div></div>
------------------------------------------------------------------------------<span class=""><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net" target="_blank">Snort-sigs@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!</span></div>
</blockquote>
</div>
<br>
</div>
</div>

</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Warm Regards,</div><div><br></div><div>Ankit singh</div><div><br></div><div><div><br></div></div></div></div>
</div>