<div dir="ltr"><div><br></div>Can some body  pls check ...<br><br><div><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div><div><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div><div><div><div><div>
Below are some the rules from snort.rules file , which PP has created.<br>
<br># alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SERVER-IIS bdir.htr access"; flow:to_server,established; content:"/bdir.htr"; nocase; http_uri; metadata:service http; reference:bugtraq,2280; reference:nessus,10577; classtype:web-application-activity; sid:1000; rev:22;)<br>

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SERVER-WEBAPP carbo.dll access"; flow:to_server,established; content:"/carbo.dll"; http_uri; content:"icatcommand="; nocase; metadata:policy security-ips drop, service http; reference:bugtraq,2126; reference:cve,1999-1069; classtype:attempted-recon; sid:1001; rev:16;)<br>

# alert tcp $EXTERNAL_NET 22 -> $HOME_NET any (msg:"EXPLOIT Putty Server key exchange buffer overflow attempt"; flow:to_client,established,no_stream; content:"SSH-"; depth:4; isdataat:1000,relative; pcre:"/SSH-0*([2-9]\d*|1\d+)\.[^-]*-[^\n]*\n\x00\x00.{3}\x14.{1000}/s"; reference:bugtraq,6407; reference:cve,2002-1359; reference:url,<a href="http://www.rapid7.com/advisories/R7-0009.html" target="_blank">www.rapid7.com/advisories/R7-0009.html</a>; classtype:attempted-user; sid:10010; rev:6;)<br>

alert tcp $EXTERNAL_NET any -> $HOME_NET 143 (msg:"SERVER-MAIL Novell NetMail APPEND command buffer overflow attempt"; flow:established,to_server; content:"AP"; nocase; isdataat:256,relative; pcre:"/\sAP[A-Za-z]{4}\s[^\n]{256}/smi"; metadata:policy security-ips drop, service imap; reference:bugtraq,21723; reference:cve,2006-6425; classtype:misc-attack; sid:10011; rev:11;)<br>

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"BROWSER-PLUGINS CCRP FolderTreeView ActiveX clsid access"; flow:to_client,established; file_data; content:"19B7F2D6-1610-11D3-BF30-1AF820524153"; fast_pattern:only; pcre:"/<OBJECT\s*[^>]*\s*classid\s*=\s*(\x22|\x27|)\s*clsid\s*\x3a\s*{?\s*19B7F2D6-1610-11D3-BF30-1AF820524153\s*}?\s*\1/si"; metadata:policy security-ips drop, service http; reference:bugtraq,22092; reference:url,<a href="http://ccrp.mvps.org/index.html?controls/ccrpftv6.htm" target="_blank">ccrp.mvps.org/index.html?controls/ccrpftv6.htm</a>; classtype:attempted-user; sid:10013; rev:11;)<br>

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"BROWSER-PLUGINS Oracle ORADC ActiveX clsid access"; flow:to_client,established; file_data; content:"EC4CF635-D196-11CE-9027-02608C4BF3B5"; fast_pattern:only; pcre:"/<OBJECT\s*[^>]*\s*id\s*=((\x22|\x27)([^\2]*)\2)\s*classid\s*=\s*(\x22|\x27|)clsid\s*\x3a\s*{?\s*EC4CF635-D196-11CE-9027-02608C4BF3B5\s*}?\4.*\3\.(UpdateRecord)\(|<OBJECT\s*[^>]*\s*classid\s*=\s*(\x22|\x27|)\s*clsid\s*\x3a\s*{?\s*EC4CF635-D196-11CE-9027-02608C4BF3B5\s*}?\s*\6\s*id\s*=\s*((\x22|\x27)([^\8]*)\8).*\9\.(UpdateRecord)\(/siO"; metadata:policy security-ips drop, service http; reference:bugtraq,22026; classtype:attempted-user; sid:10015; rev:13;)<br>

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"BROWSER-PLUGINS Oracle ORADC ActiveX function call access"; flow:to_client,established; file_data; content:"ORADC.ORADCCtrl"; fast_pattern:only; pcre:"/(\w+)\s*=\s*(\x22ORADC.ORADCCtrl\x22|\x27ORADC.ORADCCtrl\x27)\s*\x3b.*(\w+)\s*=\s*new\s*ActiveXObject\s*\(\s*\1\s*\)(\s*\.\s*(UpdateRecord)\s*\(|.*\3\s*\.\s*(UpdateRecord)\s*\()|(\w+)\s*=\s*new\s*ActiveXObject\s*\(\s*(\x22ORADC.ORADCCtrl\x22|\x27ORADC.ORADCCtrl\x27)\s*\)(\s*\.\s*(UpdateRecord)\s*\(|.*\7\s*\.\s*(UpdateRecord)\s*\()/smi"; metadata:policy security-ips drop, service http; reference:bugtraq,22026; classtype:attempted-user; sid:10017; rev:9;)<br>

alert tcp $EXTERNAL_NET any -> $HOME_NET 6502 (msg:"NETBIOS DCERPC NCACN-IP-TCP brightstor-arc ReserveGroup attempt"; flow:established,to_server; dce_iface:62B93DF0-8B02-11CE-876C-00805F842837; dce_opnum:38; metadata:policy balanced-ips drop, policy connectivity-ips drop, policy security-ips drop, service dcerpc; reference:cve,2006-6076; reference:cve,2006-6917; reference:url,<a href="http://www.lssec.com/advisories/LS-20061001.pdf" target="_blank">www.lssec.com/advisories/LS-20061001.pdf</a>; classtype:protocol-command-decode; sid:10018; rev:9;)<br>

\d)?\x27)\s*\)(\s*\.\s*(SetFormatLikeSample|CreateFile)\s*|.*(?P=n)\s*\.\s*(SetFormatLikeSample|CreateFile)\s*)\s*\(/smiO"; metadata:policy security-ips drop, service http; reference:bugtraq,22196; reference:bugtraq,33469; reference:cve,2007-0018; reference:url,<a href="http://www.kb.cert.org/vuls/id/292713" target="_blank">www.kb.cert.org/vuls/id/292713</a>; classtype:attempted-user; sid:10086; rev:10;)<br>

<br><br></div><div><div class="h5">and in the snort.conf file i have HOME_NET AND EXTERNAL_NET variables configured as below.<br>
 <br>ipvar HOME_NET any<br>
<br>ipvar EXTERNAL_NET any<br><br></div></div></div><div><div class="h5">i have manually downloaded the latest snapshot of rules from <a href="http://snort.org" target="_blank">snort.org</a> and copied some of the rules files in to a single file called new.rules, then configured the snort.conf to use this rule file only, restarted the snort services ,Its working fine. i can see the alerts , log file is also filling up.<br>



</div></div></div></div><div><div class="h5"><br>But could not figure out what the problem with snort.rules file which PP has created.<br><br></div></div></div>Regards,<br>Ashraf<br><div><br><br><div><div><div><div><br></div>
</div></div></div></div></div><div><div class="h5"><div>
<div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Tue, Apr 23, 2013 at 4:44 PM, James Lay <span dir="ltr"><<a href="mailto:jlay@...13475..." target="_blank">jlay@...13475...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">



<div style="word-wrap:break-word">Let's see one of the rules, and what sdo your HOME_NET and EXTERNAL_NET look like?<div><br></div><div>James</div><div><br><div><div><div><div><div>On Apr 22, 2013, at 10:40 PM, Ashraf Ali <<a href="mailto:ashrafali.ibs@...11827..." target="_blank">ashrafali.ibs@...11827...</a>> wrote:</div>



<br></div></div><blockquote type="cite"><div><div><div dir="ltr"><div><div>yes, if i use the command (snort -c /usr/local/snort/snort.conf -i eth0 -A)  and can see lots of traffic on the console but nothing is getting dump in the log file, it is still 0 Bytes.<br>



<br></div>
i did a R&D , by creating a file called local.rules in the same rules folder and added a signature (alert tcp any any -> any any(msg:"Tcp traffic found" sid:1000001);<br></div><div>in the snort.conf file i put a # before include statement of snort.rules line and added local.rules <br>




</div><div>later restarted both snort and barnyard2 Deamons , Guess what i can see log file filling up, and in GUI i can see the alerts.<br><br></div><div>There seems to be some problem with the snort.rules file which PP has created.<br>




<br></div><div>Regards,<br></div><div>Ashraf<br></div><div>Security System Engineer.<br><br></div><div><br> </div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Apr 22, 2013 at 9:37 PM, Y M <span dir="ltr"><<a href="mailto:snort@...15979..." target="_blank">snort@...15979...</a>></span> wrote:<br>




<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">



<div>
<div>
<div style="font-size:11pt;font-family:Calibri,sans-serif">If you run snort with -A console or -A cmg, do you see any alerts on the console?<br>
<br>
Also run tcpdump against the interface you are listening from, simply<br>
<br>
tcpdump -i ethX -v<br>
<br>
Do you see any traffic? Replace ethX with your interface.</div>
</div>
<div dir="ltr">
<hr>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">From:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:ashrafali.ibs@...11827..." target="_blank">Ashraf Ali</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Sent:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">4/22/2013 3:37 PM</span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">To:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Subject:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">[Snort-users] Snort 2.9.4.5 rules using pp</span><br>
<br>
</div><div><div>
<div>
<div dir="ltr">
<div>
<div>
<div>
<div>
<div>Hi All,<br>
<br>
</div>
recently i have deployed snort in ubuntu 12.04 using Autosnort , during the installation PP asked for Oinkcode ,as i am a registered user so i have provided the same.<br>
</div>
After completion of the installation, i have seen that snort and barnyard2 services are running in Deamon mode, and in /var/log/snort folder a file with name snort.u2.1366**** is also created but empty(0 bytes).<br>
<br>
-rw-r--r--  1 snort snort    2056 Apr 22 17:54 barnyard2.waldo<br>
<b>-rw-------  1 snort snort         0 Apr 22 17:54 snort.u2.136662*****</b><br>
<br>
</div>
there is a single rules file called snort.rules in /usr/local/snort/rules folder which has all the downloaded snort rules, and same is included in the snort.conf file. 
<br>
</div>
Even i have run the snort in test mode using -T , it does not shows up any problem, its working fine but not generating any logs.<br>
<br>
</div>
<div>I have formated the server , and re-installed every thing manually this time. still the same problem. file is getting created but no logs.<br>
<br>
</div>
<div>pls Advice.<br>
<br>
</div>
<div>Ashraf<br>
</div>
<div>Security System Egnineer<br>
</div>
<div><br>
 <br>
</div>
</div>
</div>
</div></div></div>

</blockquote></div><br></div></div></div>
------------------------------------------------------------------------------<br>Try New Relic Now & We'll Send You this Cool Shirt<br>New Relic is the only SaaS-based application performance monitoring service <br>



that delivers powerful full stack analytics. Optimize and monitor your<br>browser, app, & servers with just a few lines of code. Try New Relic<br>and get this awesome Nerd Life shirt! <a href="http://p.sf.net/sfu/newrelic_d2d_apr_______________________________________________" target="_blank">http://p.sf.net/sfu/newrelic_d2d_apr_______________________________________________</a><br>



Snort-users mailing list<br><a href="mailto:Snort-users@...5870....net" target="_blank">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>



Snort-users list archive:<br><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br><br>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</blockquote>



</div><br></div></div></div><br>------------------------------------------------------------------------------<br>
Try New Relic Now & We'll Send You this Cool Shirt<br>
New Relic is the only SaaS-based application performance monitoring service<br>
that delivers powerful full stack analytics. Optimize and monitor your<br>
browser, app, & servers with just a few lines of code. Try New Relic<br>
and get this awesome Nerd Life shirt! <a href="http://p.sf.net/sfu/newrelic_d2d_apr" target="_blank">http://p.sf.net/sfu/newrelic_d2d_apr</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>
</div></div></div></div></div><br></div>
</div></div></div><br></div>
</div><br></div></div>