<div dir="ltr">Thanks Shirkdog but that doesn't seem to help much.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jun 25, 2014 at 6:19 PM, Shirkdog <span dir="ltr"><<a href="mailto:shirkdog@...11827..." target="_blank">shirkdog@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Add nocase; after your content.</p>
<div class="gmail_quote"><div><div class="h5">On Jun 25, 2014 7:48 AM, "basant subba" <<a href="mailto:basantsubba@...11827..." target="_blank">basantsubba@...11827...</a>> wrote:<br type="attribution"></div>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">
<div dir="ltr"><div>I want to write a rule to detect a ssh login attempt from HOME_NET to server with IP 172.16.24.253. How do I go about it? This is as far as I could get but it looks far from complete signature to detect ssh login attempt. <br>


<br>alert tcp $HOME_NET any -> 172.16.24.253 22 (msg:"ssh Login Attempt"; flow:established, to_server; content:"ssh "; sid:10000001; rev:1;)<br><br></div>How do I write the pcre part for this signature? Can any1 help?<br>


<div><div><br></div></div></div>
<br></div></div>------------------------------------------------------------------------------<br>
Open source business process management suite built on Java and Eclipse<br>
Turn processes into business applications with Bonita BPM Community Edition<br>
Quickly connect people, data, and systems into organized workflows<br>
Winner of BOSSIE, CODIE, OW2 and Gartner awards<br>
<a href="http://p.sf.net/sfu/Bonitasoft" target="_blank">http://p.sf.net/sfu/Bonitasoft</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div>
</blockquote></div><br></div>