<div dir="ltr"><div style="font-size:12.8px"><div><div>I'm using Snort 2.9.9 on Ubuntu 16.04. Trying to build a telnet login detection rule as the following:<br></div><div>







<p class="gmail-p1"><span class="gmail-s1">alert tcp $TELNET_SERVERS 23 -> $EXTERNAL_NET any (msg:"TELNET login incorrect"; content:"Login incorrect"; nocase;classtype:bad-unknown; sid:429; rev:2; priority:1;)</span><span style="font-size:12.8px">                         </span></p><p class="gmail-p2"><span class="gmail-s1"></span></p><br>This rule looks good to me but it doesn't fire when failed TELNET occurs. Any thing missing in this rule?<br></div><br></div><div>NOTE: At the same time, I created a SSH rule as the following that works well:</div><div>







<p class="gmail-p1"><span class="gmail-s1">alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SSH login attempt"; flow:to_server,established; content:"SSH-"; sid:10000002; rev:3; classtype:attempted-user;)</span></p></div><div><br></div>Thanks,<br></div><span style="font-size:12.8px">Paul</span><br></div>