<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>RE: [Snort-sigs] Outbound string contains c m d.exe, but from where?</TITLE>

<META content="MSHTML 6.00.2712.300" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=509162416-24012002>The 
source of the packets is my outbound NAT router in front of my outbound proxy 
array.  I have not web based email server.</SPAN></FONT></DIV>
<BLOCKQUOTE dir=ltr 
style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #0000ff 2px solid; MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Cessna, Michael 
  [mailto:MCessna@...3439...]<BR><B>Sent:</B> Thursday, January 24, 2002 10:16 
  AM<BR><B>To:</B> 'Noller, Gregory'; 
  'snort-users@lists.sourceforge.net'<BR><B>Subject:</B> RE: [Snort-sigs] 
  Outbound string contains c m d.exe, but from whe re?<BR><BR></FONT></DIV>
  <P><FONT size=2>Gregory,</FONT> <BR><FONT size=2>Since the source of your 
  packets is the same (209.128.247:%PORT%)...What is that ip? Is it one of your 
  ip's? Also I have seen this rule triggered quite a lot with Exchange Web Mail. 
  Do you have Web Mail Servers on your Net? My snort gets really pissed off 
  whenever I read my snort mail over the web!</FONT></P>
  <P><FONT size=2>Mike</FONT> </P>
  <P><FONT size=2>-----Original Message-----</FONT> <BR><FONT size=2>From: 
  Noller, Gregory [<A 
  href="mailto:Noller2G@...4290...">mailto:Noller2G@...4290...</A>]</FONT> 
  <BR><FONT size=2>Sent: Thursday, January 24, 2002 10:17 AM</FONT> <BR><FONT 
  size=2>To: snort-sigs@lists.sourceforge.net;</FONT> <BR><FONT 
  size=2>'snort-users@lists.sourceforge.net'</FONT> <BR><FONT size=2>Subject: 
  [Snort-sigs] Outbound string contains c m d.exe, but from</FONT> <BR><FONT 
  size=2>where?</FONT> </P>
  <P><FONT face=Arial color=#0000ff 
size=2></FONT> </P></BLOCKQUOTE></BODY></HTML>