<div dir="ltr"><div>I want to write a rule to detect a ssh login attempt from HOME_NET to server with IP 172.16.24.253. How do I go about it? This is as far as I could get but it looks far from complete signature to detect ssh login attempt. <br>
<br>alert tcp $HOME_NET any -> 172.16.24.253 22 (msg:"ssh Login Attempt"; flow:established, to_server; content:"ssh "; sid:10000001; rev:1;)<br><br></div>How do I write the pcre part for this signature? Can any1 help?<br>
<div><div><br></div></div></div>