<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Dec 11, 2011, at 12:23 AM, babu dheen wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><table cellspacing="0" cellpadding="0" border="0"><tbody><tr><td valign="top" style="font: inherit;"><div><span style="FONT-FAMILY: 'Arial','sans-serif'; FONT-SIZE: 10pt">Dear,<!--?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /--><o:p></o:p></span></div>
<div><span style="FONT-FAMILY: 'Arial','sans-serif'; FONT-SIZE: 10pt"> <o:p></o:p></span></div>
<div><span style="FONT-FAMILY: 'Arial','sans-serif'; FONT-SIZE: 10pt"> We are using Astaro Firewall with IPS in pass through mode for last one year. We have been noticing  many number of  <span style="BACKGROUND: yellow; mso-highlight: yellow">"BOTNET-CNC Palevo bot DNS request for C&C attempt"</span> attack showing in IPS summery report wherein source address and destination address showing only DNS server which source address is my company internal DNS server and destination is ISP DNS server.<o:p></o:p></span></div>
<div><span style="FONT-FAMILY: 'Arial','sans-serif'; FONT-SIZE: 10pt"> <o:p></o:p></span></div>
<div><span style="FONT-FAMILY: 'Arial','sans-serif'; FONT-SIZE: 10pt">We would like to find out the botnet infected clients which this IPS report shows. To help on this, we would like to know from which central URLs snort is downloading malware domains in its database so that we can refer the common URL against the DNS logs and find out the infected clients list.<o:p></o:p></span></div>
<div><span style="FONT-FAMILY: 'Arial','sans-serif'; FONT-SIZE: 10pt"> <o:p></o:p></span></div>
<div><span style="FONT-FAMILY: 'Arial','sans-serif'; FONT-SIZE: 10pt">I need your valuable help and guidelines on this.<o:p></o:p></span></div>
<div><span style="FONT-FAMILY: 'Arial','sans-serif'; FONT-SIZE: 10pt"> <o:p></o:p></span></div>
<div><span style="FONT-FAMILY: 'Arial','sans-serif'; FONT-SIZE: 10pt">Note: As you know, Astaro firewall is using Snort signature for IPS functionality. <o:p></o:p></span></div><div style="margin-top: 0in; margin-right: 0in; margin-bottom: 0pt; margin-left: 0in; "><span style="FONT-FAMILY: 'Arial','sans-serif'; FONT-SIZE: 10pt; mso-fareast-font-family: 'Times New Roman'"><o:p> </o:p></span>
</div><div>
<table style="MARGIN: auto auto auto -1.15pt; WIDTH: 424pt; BORDER-COLLAPSE: collapse; mso-yfti-tbllook: 1184; mso-padding-alt: 0in 5.4pt 0in 5.4pt" class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="565">
<tbody>
<tr style="HEIGHT: 15pt; mso-yfti-irow: 0; mso-yfti-firstrow: yes">
<td style="BORDER-BOTTOM: windowtext 1pt solid; BORDER-LEFT: windowtext 1pt solid; PADDING-BOTTOM: 0in; BACKGROUND-COLOR: transparent; PADDING-LEFT: 5.4pt; WIDTH: 105pt; PADDING-RIGHT: 5.4pt; HEIGHT: 15pt; BORDER-TOP: windowtext 1pt solid; BORDER-RIGHT: windowtext 1pt solid; PADDING-TOP: 0in; mso-border-alt: solid windowtext .5pt" valign="bottom" width="140" nowrap=""><div style="margin-top: 0in; margin-right: 0in; margin-bottom: 0pt; margin-left: 0in; "><b><span style="COLOR: black; mso-ascii-font-family: Calibri; mso-fareast-font-family: 'Times New Roman'; mso-hansi-font-family: Calibri; mso-bidi-font-family: 'Times New Roman'"><font face="Calibri">Rule ID<o:p></o:p></font></span></b></div></td>
<td style="BORDER-BOTTOM: windowtext 1pt solid; BORDER-LEFT: #ece9d8; PADDING-BOTTOM: 0in; BACKGROUND-COLOR: transparent; PADDING-LEFT: 5.4pt; WIDTH: 223pt; PADDING-RIGHT: 5.4pt; HEIGHT: 15pt; BORDER-TOP: windowtext 1pt solid; BORDER-RIGHT: windowtext 1pt solid; PADDING-TOP: 0in; mso-border-top-alt: solid windowtext .5pt; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt" valign="bottom" width="297" nowrap=""><div style="margin-top: 0in; margin-right: 0in; margin-bottom: 0pt; margin-left: 0in; "><b><span style="COLOR: black; mso-ascii-font-family: Calibri; mso-fareast-font-family: 'Times New Roman'; mso-hansi-font-family: Calibri; mso-bidi-font-family: 'Times New Roman'"><font face="Calibri">Rule Nmae<o:p></o:p></font></span></b></div></td>
<td style="BORDER-BOTTOM: windowtext 1pt solid; BORDER-LEFT: #ece9d8; PADDING-BOTTOM: 0in; BACKGROUND-COLOR: transparent; PADDING-LEFT: 5.4pt; WIDTH: 48pt; PADDING-RIGHT: 5.4pt; HEIGHT: 15pt; BORDER-TOP: windowtext 1pt solid; BORDER-RIGHT: windowtext 1pt solid; PADDING-TOP: 0in; mso-border-top-alt: solid windowtext .5pt; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt" valign="bottom" width="64" nowrap=""><div style="margin-top: 0in; margin-right: 0in; margin-bottom: 0pt; margin-left: 0in; "><b><span style="COLOR: black; mso-ascii-font-family: Calibri; mso-fareast-font-family: 'Times New Roman'; mso-hansi-font-family: Calibri; mso-bidi-font-family: 'Times New Roman'"><font face="Calibri">Group<o:p></o:p></font></span></b></div></td>
<td style="BORDER-BOTTOM: windowtext 1pt solid; BORDER-LEFT: #ece9d8; PADDING-BOTTOM: 0in; BACKGROUND-COLOR: transparent; PADDING-LEFT: 5.4pt; WIDTH: 48pt; PADDING-RIGHT: 5.4pt; HEIGHT: 15pt; BORDER-TOP: windowtext 1pt solid; BORDER-RIGHT: windowtext 1pt solid; PADDING-TOP: 0in; mso-border-top-alt: solid windowtext .5pt; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt" valign="bottom" width="64" nowrap=""><div style="margin-top: 0in; margin-right: 0in; margin-bottom: 0pt; margin-left: 0in; "><b><span style="COLOR: black; mso-ascii-font-family: Calibri; mso-fareast-font-family: 'Times New Roman'; mso-hansi-font-family: Calibri; mso-bidi-font-family: 'Times New Roman'"><font face="Calibri">Events<o:p></o:p></font></span></b></div></td></tr>
<tr style="HEIGHT: 15pt; mso-yfti-irow: 1; mso-yfti-lastrow: yes">
<td style="BORDER-BOTTOM: windowtext 1pt solid; BORDER-LEFT: windowtext 1pt solid; PADDING-BOTTOM: 0in; BACKGROUND-COLOR: transparent; PADDING-LEFT: 5.4pt; WIDTH: 105pt; PADDING-RIGHT: 5.4pt; HEIGHT: 15pt; BORDER-TOP: #ece9d8; BORDER-RIGHT: windowtext 1pt solid; PADDING-TOP: 0in; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt" valign="bottom" width="140" nowrap=""><div style="text-align: right; margin-top: 0in; margin-right: 0in; margin-bottom: 0pt; margin-left: 0in; "><b><span style="COLOR: black; mso-ascii-font-family: Calibri; mso-fareast-font-family: 'Times New Roman'; mso-hansi-font-family: Calibri; mso-bidi-font-family: 'Times New Roman'"><font face="Calibri">16297<o:p></o:p></font></span></b></div></td>
<td style="BORDER-BOTTOM: windowtext 1pt solid; BORDER-LEFT: #ece9d8; PADDING-BOTTOM: 0in; BACKGROUND-COLOR: transparent; PADDING-LEFT: 5.4pt; WIDTH: 223pt; PADDING-RIGHT: 5.4pt; HEIGHT: 15pt; BORDER-TOP: #ece9d8; BORDER-RIGHT: windowtext 1pt solid; PADDING-TOP: 0in; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt" valign="bottom" width="297" nowrap=""><div style="margin-top: 0in; margin-right: 0in; margin-bottom: 0pt; margin-left: 0in; "><b><span style="COLOR: black; mso-ascii-font-family: Calibri; mso-fareast-font-family: 'Times New Roman'; mso-hansi-font-family: Calibri; mso-bidi-font-family: 'Times New Roman'"><font face="Calibri">BOTNET-CNC Palevo bot DNS<br>request for C&C attempt<o:p></o:p></font></span></b></div></td>
<td style="BORDER-BOTTOM: windowtext 1pt solid; BORDER-LEFT: #ece9d8; PADDING-BOTTOM: 0in; BACKGROUND-COLOR: transparent; PADDING-LEFT: 5.4pt; WIDTH: 48pt; PADDING-RIGHT: 5.4pt; HEIGHT: 15pt; BORDER-TOP: #ece9d8; BORDER-RIGHT: windowtext 1pt solid; PADDING-TOP: 0in; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt" valign="bottom" width="64" nowrap=""><div style="margin-top: 0in; margin-right: 0in; margin-bottom: 0pt; margin-left: 0in; "><b><span style="COLOR: black; mso-ascii-font-family: Calibri; mso-fareast-font-family: 'Times New Roman'; mso-hansi-font-family: Calibri; mso-bidi-font-family: 'Times New Roman'"><font face="Calibri">Server<o:p></o:p></font></span></b></div></td>
<td style="BORDER-BOTTOM: windowtext 1pt solid; BORDER-LEFT: #ece9d8; PADDING-BOTTOM: 0in; BACKGROUND-COLOR: transparent; PADDING-LEFT: 5.4pt; WIDTH: 48pt; PADDING-RIGHT: 5.4pt; HEIGHT: 15pt; BORDER-TOP: #ece9d8; BORDER-RIGHT: windowtext 1pt solid; PADDING-TOP: 0in; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt" valign="bottom" width="64" nowrap=""><div style="text-align: right; margin-top: 0in; margin-right: 0in; margin-bottom: 0pt; margin-left: 0in; "><b><span style="COLOR: black; mso-ascii-font-family: Calibri; mso-fareast-font-family: 'Times New Roman'; mso-hansi-font-family: Calibri; mso-bidi-font-family: 'Times New Roman'"><font face="Calibri">1018<o:p></o:p></font></span></b></div></td></tr></tbody></table></div>
<div> </div>
<div> </div>
<div>Regards</div>
<div>Babu</div></td></tr></tbody></table></blockquote></div><br><div><br></div><div><div>Look at the rule dude:</div><div><br></div><div>alert udp $HOME_NET any -> $EXTERNAL_NET 53 (msg:"BOTNET-CNC Palevo bot DNS request for C&C attempt"; flow:to_server; content:"butterfly|05|sinip|02|es"; nocase; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, service dns; reference:url,<a href="http://www.virustotal.com/analisis/c790a26f38070632759f481a87ed60c1628dea723ad63577cfe373de6b81e0a7-1249566492">www.virustotal.com/analisis/c790a26f38070632759f481a87ed60c1628dea723ad63577cfe373de6b81e0a7-1249566492</a>; classtype:trojan-activity; sid:16297; rev:3;)</div><div><br></div><div>Looks like it's not concerned with a list, but with data content.  I'd turn on DNS logging on your internal server to find out which internal machines may be infected.  Hope that helps.</div><div><br></div><div>James</div></div></body></html>