<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word" xmlns:st1 = 
"urn:schemas-microsoft-com:office:smarttags"><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2900.2802" name=GENERATOR><o:SmartTagType 
name="State" 
namespaceuri="urn:schemas-microsoft-com:office:smarttags"></o:SmartTagType><o:SmartTagType 
name="City" 
namespaceuri="urn:schemas-microsoft-com:office:smarttags"></o:SmartTagType><o:SmartTagType 
name="place" 
namespaceuri="urn:schemas-microsoft-com:office:smarttags"></o:SmartTagType><!--[if !mso]>
<STYLE>
st1\:*{behavior:url(#default#ieooui) }
</STYLE>
<![endif]-->
<STYLE>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:Arial;
        color:windowtext;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</STYLE>
</HEAD>
<BODY lang=EN-US vLink=purple link=blue>
<DIV dir=ltr align=left><SPAN class=224110215-29032006><FONT face=Arial 
color=#0000ff size=2>In your snort.conf, the default value for your SQL servers 
is:</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=224110215-29032006><FONT 
size=2>    var SQL_SERVERS $HOME_NET</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=224110215-29032006><FONT 
size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=224110215-29032006><FONT size=2><FONT 
face=Arial color=#0000ff>Replace $HOME_NET with the actual IP addrs of any 
internal SQL servers.</FONT></FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=224110215-29032006><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=224110215-29032006><FONT face=Arial 
color=#0000ff size=2>Or comment out the alert for SID 2329 in 
sql.rules.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=224110215-29032006><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=224110215-29032006><SPAN 
class=224110215-29032006><FONT size=2><FONT face=Arial color=#0000ff>Then you 
won't see these false positives any more.</FONT></FONT></SPAN></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=224110215-29032006><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=224110215-29032006><FONT face=Arial 
color=#0000ff size=2>Many use Oinkmaster to manage commented out alerts across 
Snort signature updates.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=224110215-29032006></SPAN><SPAN 
class=224110215-29032006></SPAN><SPAN class=224110215-29032006><FONT 
size=2><FONT face=Arial color=#0000ff></FONT></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=224110215-29032006><FONT size=2><FONT 
face=Arial color=#0000ff>Bruce</FONT></DIV></FONT></SPAN><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> snort-users-admin@...3471...ge.net 
[mailto:snort-users-admin@lists.sourceforge.net] <B>On Behalf Of </B>Jeffery 
Gunter<BR><B>Sent:</B> Wednesday, March 29, 2006 8:54 AM<BR><B>To:</B> 
snort-users@lists.sourceforge.net<BR><B>Subject:</B> [Snort-users] MS-SQL Probe 
when listening to streaming radio! ???<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV class=Section1>
<P class=MsoNormal><FONT face=Arial color=black size=3><SPAN 
style="FONT-SIZE: 12pt; COLOR: black; FONT-FAMILY: Arial">Hi Folks; <BR><BR>I’m 
quite new to snort.  I have a user using Win Media Player to listen to 
streaming radio from WIMZ out of <st1:place w:st="on"><st1:City 
w:st="on">Knoxville</st1:City>, <st1:State w:st="on">TN.</st1:State></st1:place> 
My issue is that it is causing snort to go crazy. I've received over 100 of the 
following messages: <BR><BR><B><SPAN 
style="FONT-WEIGHT: bold">IDS:S=snort:ID=1:[1:2329:6] MS-SQL probe response 
overflow attempt [Classification: Attempted User Privilege Gain] [Priority: 1]: 
{UDP} 66.250.188.37:2267 -> 10.88.220.65:1215</SPAN></B> <BR><BR>My user's ip 
is 65 and when I had her stop accessing the stream the messages stopped? What is 
up with this? I have no SQL services running on her computer? <BR><BR>Thanks for 
your help!<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Wingdings color=black size=5><SPAN 
style="FONT-SIZE: 18pt; COLOR: black; FONT-FAMILY: Wingdings">J<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial color=black size=3><SPAN 
style="FONT-SIZE: 12pt; COLOR: black; FONT-FAMILY: Arial">Jeffery 
</SPAN></FONT><FONT face=Arial><SPAN style="FONT-FAMILY: Arial">Gunter<FONT 
color=black><SPAN style="COLOR: black">  |  Chief Information 
Officer  |  Citizens Bank of <st1:place w:st="on">East 
Tennessee</st1:place>  |  </SPAN></FONT><A title=http://www.cbetn.com/ 
href="BLOCKED::http://www.cbetn.com/">http://www.cbetn.com</A><o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial color=black size=3><SPAN 
style="FONT-SIZE: 12pt; COLOR: black; FONT-FAMILY: Arial">email:</SPAN></FONT><FONT 
face=Arial color=blue><SPAN style="COLOR: blue; FONT-FAMILY: Arial">  <A 
title=mailto:jgunter@...13738... 
href="BLOCKED::mailto:jgunter@...13738...">jgunter@...13738...</A></SPAN></FONT><FONT 
face=Arial><SPAN style="FONT-FAMILY: Arial"><o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial color=black size=3><SPAN 
style="FONT-SIZE: 12pt; COLOR: black; FONT-FAMILY: Arial">Land:  
423-272-2200  x17</SPAN></FONT><FONT face=Arial><SPAN 
style="FONT-FAMILY: Arial"><o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial color=black size=3><SPAN 
style="FONT-SIZE: 12pt; COLOR: black; FONT-FAMILY: Arial">Cell:  
423-754-5157</SPAN></FONT><FONT face=Arial><SPAN 
style="FONT-FAMILY: Arial"><o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial color=black size=3><SPAN 
style="FONT-SIZE: 12pt; COLOR: black; FONT-FAMILY: Arial">Fax:  
423-272-2322</SPAN></FONT><FONT face=Arial><SPAN 
style="FONT-FAMILY: Arial"><o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
style="FONT-SIZE: 12pt"><o:p> </o:p></SPAN></FONT></P></DIV>------_>extPart_001_01C65338.3329CF40--<BR><BR>This 
e-mail was scanned for viruses.</BODY></HTML>