<html>
<head>
</head>
<body class='hmmessage'><div dir='ltr'>


<div dir="ltr">

<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style>
<div dir="ltr">> I only want to remove rule 2011582, not the others. If I am<br>> understanding ok, If I put the following in my modifysid.conf:<br>> <br>> 2011582 "flowbits:set,ET.http.javaclient.vulnerable;" ""<br>> <br>> I disable all these rules ... is it ok??<br> <br>Since you specified the sid for PulledPork, it should only modify that particular signature.<br> <br>YM<br> <br><div>> Date: Mon, 14 Apr 2014 13:40:51 +0000<br>> From: carlopmart@...11827...<br>> To: snort-users@lists.sourceforge.net<br>> Subject: Re: [Snort-users] Pulledpork doesn't disable some rules<br>> <br>> On Mon, Apr 14, 2014 at 1:28 PM, Y M <snort@...15979...> wrote:<br>> >> Ok, I have applied the following solution posted in<br>> >> https://code.google.com/p/pulledpork/issues/detail?id=82, using<br>> >> modifysid option without luck.<br>> ><br>> > This depends on how you are modifying  the rule in the modifysid.conf file,<br>> > and if there are other rules that check if this particular flowbit is set.<br>> > For example:<br>> ><br>> > Rule A --> sets --> flowbit 1<br>> > Rule B --> checks (isset/isnotset) --> flowbit 1<br>> ><br>> > In this case, if you disable Rule A, PulledPork will re-enable it since<br>> > another rule (Rule B) is checking the same flowbit (flowbit 1).<br>> ><br>> > The order in which PulledPork will process the rules (modifysid.conf first)<br>> > is already committed to PulledPork v0.7. Which means that if modify (pcre or<br>> > so as documented) your rule in the modifysid.conf file by removing the<br>> > flowbits setting, it will be processed first, hence, the dependency should<br>> > be removed already before moving along.<br>> ><br>> <br>> Thanks, YM. Uhmm, I see but then I have a problem. In the<br>> EmergingThreats package rules exists the following rules with the same<br>> flowbit:<br>> <br>> alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET POLICY<br>> Vulnerable Java Version 1.4.x Detected"; flow:established,to_server;<br>> content:"Java/1.4."; http_user_agent;<br>> flowbits:set,ET.http.javaclient.vulnerable;  threshold: type limit,<br>> count 2, seconds 300, track by_src;<br>> reference:url,javatester.org/version.html; classtype:bad-unknown;<br>> sid:2011584; rev:11;)<br>> <br>> #<br>> alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET POLICY<br>> Vulnerable Java Version 1.5.x Detected"; flow:established,to_server;<br>> content:" Java/1.5."; nocase; http_header;<br>> flowbits:set,ET.http.javaclient.vulnerable; threshold: type limit,<br>> count 2, seconds 300, track by_src;<br>> reference:url,javatester.org/version.html; classtype:bad-unknown;<br>> sid:2011581; rev:9;)<br>> <br>> #<br>> alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET POLICY<br>> Vulnerable Java Version 1.6.x Detected"; flow:established,to_server;<br>> content:"Java/1.6.0_"; http_user_agent; content:!"71"; within:2;<br>> http_user_agent; flowbits:set,ET.http.javaclient.vulnerable;<br>> threshold: type limit, count 2, seconds 300, track by_src;<br>> reference:url,javatester.org/version.html; classtype:bad-unknown;<br>> sid:2011582; rev:33;)<br>> <br>> alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET POLICY<br>> Vulnerable Java Version 1.7.x Detected"; flow:established,to_server;<br>> content:"Java/1.7.0_"; http_user_agent; content:!"51"; within:2;<br>> http_user_agent; flowbits:set,ET.http.javaclient.vulnerable;<br>> threshold: type limit, count 2, seconds 300, track by_src;<br>> reference:url,javatester.org/version.html; classtype:bad-unknown;<br>> sid:2014297; rev:25;)<br>> <br>> I only want to remove rule 2011582, not the others. If I am<br>> understanding ok, If I put the following in my modifysid.conf:<br>> <br>> 2011582 "flowbits:set,ET.http.javaclient.vulnerable;" ""<br>> <br>> I disable all these rules ... is it ok??<br>> <br>> And these rule dependencies, too:<br>> <br>> root@...16105...:/tmp/j/rules # grep ET.http.javaclient.vulnerable * | grep isset<br>> emerging-current_events.rules:alert http $EXTERNAL_NET any -><br>> $HOME_NET any (msg:"ET CURRENT_EVENTS Phoenix Java MIDI Exploit<br>> Received By Vulnerable Client"; flow:established,to_client;<br>> flowbits:isset,ET.http.javaclient.vulnerable;<br>> content:"META-INF/services/javax.sound.midi.spi.MidiDeviceProvider";<br>> classtype:bad-unknown; sid:2013484; rev:3;)<br>> emerging-current_events.rules:alert http $EXTERNAL_NET any -><br>> $HOME_NET any (msg:"ET CURRENT_EVENTS - Modified Metasploit Jar";<br>> flow:from_server,established;<br>> flowbits:isset,ET.http.javaclient.vulnerable;<br>> content:"msf|2f|x|2f|Payload"; classtype:trojan-activity; sid:2014560;<br>> rev:6;)<br>> emerging-current_events.rules:alert http $HOME_NET any -><br>> $EXTERNAL_NET any (msg:"ET CURRENT_EVENTS Incognito/RedKit Exploit Kit<br>> vulnerable Java payload request to /1digit.html";<br>> flowbits:isset,ET.http.javaclient.vulnerable;<br>> flow:established,to_server; urilen:7; content:".html"; http_uri;<br>> content:" Java/1"; http_header; pcre:"/\/[0-9]\.html$/U";<br>> flowbits:set,et.exploitkitlanding; classtype:trojan-activity;<br>> sid:2014750; rev:2;)<br>> emerging-current_events.rules:alert http $HOME_NET any -><br>> $EXTERNAL_NET any (msg:"ET CURRENT_EVENTS Unknown java_ara Bin<br>> Download"; flow:established,to_server; content:"java_ara&name=";<br>> http_uri; content:"/forum/"; http_uri; content:".php?"; http_uri;<br>> flowbits:isset,ET.http.javaclient.vulnerable;<br>> classtype:trojan-activity; sid:2014805; rev:2;)<br>> emerging-current_events.rules:alert http $EXTERNAL_NET any -><br>> $HOME_NET any (msg:"ET CURRENT_EVENTS Blackhole obfuscated Java EXE<br>> Download by Vulnerable Version - Likely Driveby";<br>> flowbits:isset,ET.http.javaclient.vulnerable;<br>> flow:established,to_client; content:"|0d 0a 9c 62 d8 66 66 66 66 54|";<br>> classtype:trojan-activity; sid:2014909; rev:2;)<br>> emerging-current_events.rules:alert http $EXTERNAL_NET any -><br>> $HOME_NET any (msg:"ET CURRENT_EVENTS Scalaxy Jar file";<br>> flow:to_client,established; content:"|0d 0a 0d 0a|PK";<br>> content:"C1.class"; fast_pattern; distance:0; content:"C2.class";<br>> distance:0; flowbits:isset,ET.http.javaclient.vulnerable;<br>> classtype:trojan-activity; sid:2014983; rev:2;)<br>> emerging-current_events.rules:alert http $EXTERNAL_NET any -><br>> $HOME_NET any (msg:"ET CURRENT_EVENTS SofosFO Jar file 10/17/12";<br>> flow:to_client,established; file_data; content:"PK"; within:2;<br>> content:"SecretKey.class"; fast_pattern; distance:0;<br>> content:"Mac.class"; distance:0;<br>> flowbits:isset,ET.http.javaclient.vulnerable;<br>> classtype:trojan-activity; sid:2015812; rev:3;)<br>> emerging-current_events.rules:alert tcp $EXTERNAL_NET $HTTP_PORTS -><br>> $HOME_NET any (msg:"ET CURRENT_EVENTS Metasploit CVE-2012-1723 Path<br>> (Seen in Unknown EK) 10/29/12"; flow:to_client,established; file_data;<br>> content:"PK"; within:2; content:"cve1723/";<br>> flowbits:isset,ET.http.javaclient.vulnerable;<br>> classtype:trojan-activity; sid:2015849; rev:3;)<br>> emerging-current_events.rules:alert http $EXTERNAL_NET any -><br>> $HOME_NET any (msg:"ET CURRENT_EVENTS SofosFO Jar file 09 Nov 12";<br>> flow:to_client,established; file_data; content:"PK"; within:2;<br>> content:"SecretKey.class"; fast_pattern:only; content:"Anony";<br>> pcre:"/^(mous)?\.class/R";<br>> flowbits:isset,ET.http.javaclient.vulnerable;<br>> classtype:trojan-activity; sid:2015876; rev:3;)<br>> emerging-current_events.rules:alert http $HOME_NET any -><br>> $EXTERNAL_NET any (msg:"ET CURRENT_EVENTS RedKit Exploit Kit<br>> Vulnerable Java Payload Request URI (1)";<br>> flowbits:isset,ET.http.javaclient.vulnerable;<br>> flow:established,to_server; content:"/33.html"; depth:8; http_uri;<br>> urilen:8; flowbits:set,et.exploitkitlanding;<br>> classtype:trojan-activity; sid:2015930; rev:2;)<br>> emerging-current_events.rules:alert http $HOME_NET any -><br>> $EXTERNAL_NET any (msg:"ET CURRENT_EVENTS RedKit Exploit Kit<br>> vulnerable Java Payload Request to URI (2)";<br>> flowbits:isset,ET.http.javaclient.vulnerable;<br>> flow:established,to_server; content:"/41.html"; depth:8; http_uri;<br>> urilen:8; flowbits:set,et.exploitkitlanding;<br>> classtype:trojan-activity; sid:2015931; rev:2;)<br>> emerging-info.rules:alert http $EXTERNAL_NET any -> $HOME_NET any<br>> (msg:"ET INFO JAVA - Java Archive Download";<br>> flow:from_server,established;<br>> flowbits:isnotset,ET.http.javaclient.vulnerable;<br>> flowbits:isset,ET.http.javaclient; content:"|0D 0A 0D 0A|PK";<br>> classtype:trojan-activity; sid:2014472; rev:6;)<br>> emerging-info.rules:alert http $EXTERNAL_NET any -> $HOME_NET any<br>> (msg:"ET INFO JAVA - Java Archive Download By Vulnerable Client";<br>> flow:from_server,established;<br>> flowbits:isset,ET.http.javaclient.vulnerable; content:"|0D 0A 0D<br>> 0A|PK"; classtype:trojan-activity; sid:2014473; rev:4;)<br>> emerging-info.rules:alert http $EXTERNAL_NET any -> $HOME_NET any<br>> (msg:"ET INFO JAVA - Java Class Download";<br>> flow:from_server,established;<br>> flowbits:isnotset,ET.http.javaclient.vulnerable;<br>> flowbits:isset,ET.http.javaclient; content:"|0D 0A 0D 0A CA FE BA<br>> BE|"; classtype:trojan-activity; sid:2014474; rev:6;)<br>> emerging-info.rules:alert http $EXTERNAL_NET any -> $HOME_NET any<br>> (msg:"ET INFO JAVA - Java Class Download By Vulnerable Client";<br>> flow:from_server,established;<br>> flowbits:isset,ET.http.javaclient.vulnerable; content:"|0D 0A 0D 0A CA<br>> FE BA BE|"; classtype:trojan-activity; sid:2014475; rev:6;)<br>> emerging-info.rules:alert http $EXTERNAL_NET any -> $HOME_NET any<br>> (msg:"ET INFO Java Serialized Data via vulnerable client";<br>> flow:established,from_server;<br>> flowbits:isset,ET.http.javaclient.vulnerable; file_data; content:"|ac<br>> ed|"; within:2; flowbits:set,et.exploitkitlanding;<br>> classtype:trojan-activity; sid:2016502; rev:2;)<br>> emerging-info.rules:alert http $EXTERNAL_NET any -> $HOME_NET any<br>> (msg:"ET INFO file possibly containing Serialized Data file";<br>> flow:to_client,established; file_data; content:"PK"; within:2;<br>> content:".serPK"; flowbits:isset,ET.http.javaclient.vulnerable;<br>> classtype:trojan-activity; sid:2016505; rev:2;)<br>> emerging-policy.rules:alert http $EXTERNAL_NET any -> $HOME_NET any<br>> (msg:"ET POLICY DRIVEBY Generic - EXE Download by Java";<br>> flow:from_server,established;<br>> flowbits:isnotset,ET.http.javaclient.vulnerable;<br>> flowbits:isset,ET.http.javaclient; content:"|0d 0a 0d 0a|MZ";<br>> byte_jump:4,58,relative,little; content:"PE|00 00|"; distance:-64;<br>> within:4; threshold:type limit,track by_src,count 1,seconds 3;<br>> classtype:trojan-activity; sid:2014471; rev:6;)<br>> emerging-trojan.rules:alert http $EXTERNAL_NET any -> $HOME_NET any<br>> (msg:"ET TROJAN Java EXE Download by Vulnerable Version - Likely<br>> Driveby"; flowbits:isset,ET.http.javaclient.vulnerable;<br>> flow:established,to_client; content:"|0d 0a 0d 0a|MZ";<br>> byte_jump:4,58,relative,little; content:"PE|00 00|"; distance:-64;<br>> within:4; threshold:type limit,track by_src,count 1,seconds 3;<br>> classtype:trojan-activity; sid:2013036; rev:7;)<br>> <br>> Is this correct??<br>> <br>> ------------------------------------------------------------------------------<br>> Learn Graph Databases - Download FREE O'Reilly Book<br>> "Graph Databases" is the definitive new guide to graph databases and their<br>> applications. Written by three acclaimed leaders in the field,<br>> this first edition is now available. Download your free book today!<br>> http://p.sf.net/sfu/NeoTech<br>> _______________________________________________<br>> Snort-users mailing list<br>> Snort-users@lists.sourceforge.net<br>> Go to this URL to change user options or unsubscribe:<br>> https://lists.sourceforge.net/lists/listinfo/snort-users<br>> Snort-users list archive:<br>> http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users<br>> <br>> Please visit http://blog.snort.org to stay current on all the latest Snort news!<br></div></div>
</div>
                                          </div></body>
</html>