<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
Let me ask someone to take a look..
<div class=""><br class="">
</div>
<div class="">Thanks.</div>
<div class=""><br class="">
</div>
<div class=""><span style="font-family: 'Lucida Grande';" class="">--</span><br class="">
<span style="font-family: 'Lucida Grande';" class=""><b class="">Joel Esler</b></span><br class="">
<span style="font-family: 'Lucida Grande';" class="">Open Source Manager</span><br class="">
<span style="font-family: 'Lucida Grande';" class="">Threat Intelligence Team Lead</span><br class="">
<span style="font-family: 'Lucida Grande';" class="">Talos</span></div>
<div class=""><font face="Lucida Grande" class=""><br class="">
</font></div>
<div class=""><font face="Lucida Grande" class=""><br class="">
</font>
<div>
<blockquote type="cite" class="">
<div class="">On Aug 26, 2014, at 11:55 PM, Y M <<a href="mailto:snort@...15979..." class="">snort@...15979...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div dir="ltr" style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
No hijacking this thread, just following up. The difference of the so rules is still there with the latest ruleset. Joel, is that something we have to worry about or just move on.
<div class=""><br class="">
</div>
<div class="">
<div class=""><font face="Courier New" size="2" class="">[root@...15110...695... tmp]# md5sum 19_08_2014/snortrules-snapshot-2962.tar.gz </font></div>
<div class=""><font face="Courier New" size="2" class="">2b84e9aee0f2eaf32e51a1375ec824f5  19_08_2014/snortrules-snapshot-2962.tar.gz</font></div>
<div class=""><font face="Courier New" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New" size="2" class="">[root@...15110...695... tmp]# md5sum 26_08_2014/snortrules-snapshot-2962.tar.gz </font></div>
<div class=""><font face="Courier New" size="2" class="">283485ed4ad59fab8aad91ffbb5c56da  26_08_2014/snortrules-snapshot-2962.tar.gz</font></div>
<div class=""><font face="Courier New" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New" size="2" class="">[root@...15110...695... tmp]# ls -l 19_08_2014/snortrules-snapshot-2962.tar.gz </font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr--r--. 1 root root 33080965 Aug 27 06:42 19_08_2014/snortrules-snapshot-2962.tar.gz</font></div>
<div class=""><font face="Courier New" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New" size="2" class="">[root@...15110...695... tmp]# ls -l 26_08_2014/snortrules-snapshot-2962.tar.gz </font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr--r--. 1 root root 25380209 Aug 27 06:43 26_08_2014/snortrules-snapshot-2962.tar.gz</font></div>
<div class=""><font face="Courier New" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New" size="2" class="">[root@...15110...695... tmp]# ls -l 19_08_2014/so_rules/precompiled/RHEL-6-0/x86-64/2.9.6.2/</font></div>
<div class=""><font face="Courier New" size="2" class="">total 4104</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  85018 Aug 16 01:11 browser-ie.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  45453 Aug 16 01:11 browser-other.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  72645 Aug 16 01:11 browser-plugins.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  54282 Aug 16 01:11 exploit-kit.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  60975 Aug 16 01:11 file-executable.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  98278 Aug 16 01:11 file-flash.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 153859 Aug 16 01:11 file-image.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  45232 Aug 16 01:11 file-java.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 197997 Aug 16 01:11 file-multimedia.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 499589 Aug 16 01:11 file-office.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 124947 Aug 16 01:11 file-other.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  64942 Aug 16 01:11 file-pdf.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  47242 Aug 16 01:11 indicator-shellcode.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  82001 Aug 16 01:11 malware-cnc.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  66810 Aug 16 01:11 malware-other.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 172360 Aug 16 01:11 netbios.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  57895 Aug 16 01:11 os-linux.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  51362 Aug 16 01:11 os-other.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 655405 Aug 16 01:11 os-windows.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  67176 Aug 16 01:11 policy-social.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 179082 Aug 16 01:11 protocol-dns.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  46804 Aug 16 01:11 protocol-icmp.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  43592 Aug 16 01:11 protocol-nntp.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  55030 Aug 16 01:11 protocol-other.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  71616 Aug 16 01:11 protocol-snmp.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  75597 Aug 16 01:11 protocol-voip.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  42403 Aug 16 01:11 pua-p2p.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  49323 Aug 16 01:11 server-apache.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  75468 Aug 16 01:11 server-iis.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 127798 Aug 16 01:11 server-mail.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  44208 Aug 16 01:11 server-mysql.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  76595 Aug 16 01:11 server-oracle.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 475607 Aug 16 01:11 server-other.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  59178 Aug 16 01:11 server-webapp.so</font></div>
<div class=""><font face="Courier New" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New" size="2" class="">[root@...15110...695... tmp]# ls -l 26_08_2014/so_rules/precompiled/RHEL-6-0/x86-64/2.9.6.2/</font></div>
<div class=""><font face="Courier New" size="2" class="">total 3596</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 314212 Aug  5 21:23 bad-traffic.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  63365 Aug  5 21:23 browser-ie.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  44885 Aug  5 21:23 chat.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 359561 Aug  5 21:23 dos.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 595735 Aug  5 21:23 exploit.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  64323 Aug  5 21:23 file-flash.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  46722 Aug  5 21:23 icmp.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  48974 Aug  5 21:23 imap.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 214644 Aug  5 21:23 misc.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  74443 Aug  5 21:23 multimedia.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 237225 Aug  5 21:23 netbios.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  43510 Aug  5 21:23 nntp.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  42379 Aug  5 21:23 p2p.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 145183 Aug  5 21:23 smtp.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  71525 Aug  5 21:23 snmp.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  74726 Aug  5 21:23 specific-threats.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  56905 Aug  5 21:23 web-activex.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210 999507 Aug  5 21:23 web-client.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  45689 Aug  5 21:23 web-iis.so</font></div>
<div class=""><font face="Courier New" size="2" class="">-rwxr-xr-x. 1 1210 1210  99373 Aug  5 21:23 web-misc.so</font></div>
<div class=""><br class="">
</div>
YM<br class="">
<div class="">
<hr id="stopSpelling" class="">
From: <a href="mailto:snort@...15979..." class="">snort@...15979...</a><br class="">
To: <a href="mailto:greg.mcnathansonsnuf003@...16876..." class="">greg.mcnathansonsnuf003@...16876...</a><br class="">
Date: Sun, 24 Aug 2014 14:16:17 +0000<br class="">
CC: <a href="mailto:snort-users@lists.sourceforge.net" class="">snort-users@lists.sourceforge.net</a><br class="">
Subject: Re: [Snort-users] Missing shared object files in snapshot download file<br class="">
<br class="">
<div dir="ltr" class=""><br class="">
<br class="">
<div class="">> From: <a href="mailto:greg.mcnathansonsnuf003@...16844...76..." class="">
greg.mcnathansonsnuf003@...16876...</a><br class="">
> To: <a href="mailto:snort@...15979..." class="">snort@...15979...</a><br class="">
> CC: <a href="mailto:snort-users@lists.sourceforge.net" class="">snort-users@lists.sourceforge.net</a><br class="">
> Subject: Aw: RE: [Snort-users] Missing shared object files in snapshot download file<br class="">
> Date: Sat, 23 Aug 2014 23:05:12 +0200<br class="">
><span class="Apple-converted-space"> </span><br class="">
> Ah ok, I see.<br class="">
> Thank you for your help YM.</div>
<div class=""><br class="">
</div>
<div class="">No problem! Can you verify at your end if you are seeing the same?</div>
<div class=""><br class="">
</div>
<div class="">YM</div>
<div class=""><br class="">
>  <br class="">
> Greg<br class="">
>  <br class="">
>  <br class="">
><span class="Apple-converted-space"> </span><br class="">
> Gesendet: Samstag, 23. August 2014 um 21:55 Uhr<br class="">
> Von: "Y M" <<a href="mailto:snort@...15979..." class="">snort@...15979...</a>><br class="">
> An: "<a href="mailto:greg.mcnathansonsnuf003@...16876..." class="">greg.mcnathansonsnuf003@...16876...</a>" <<a href="mailto:greg.mcnathansonsnuf003@...16876..." class="">greg.mcnathansonsnuf003@...16876...</a>><br class="">
> Cc: snort-users <<a href="mailto:snort-users@...3471...ge.net" class="">snort-users@lists.sourceforge.net</a>><br class="">
> Betreff: RE: [Snort-users] Missing shared object files in snapshot download file<br class="">
><span class="Apple-converted-space"> </span><br class="">
> Which version/date of the rules are you running?<br class="">
>  <br class="">
> The reason I am asking is this:<br class="">
>  <br class="">
> The ruleset released until the 19 August contained the new the shared objected categories:<br class="">
>  <br class="">
><span class="Apple-converted-space"> </span><br class="">
> dev@...1900...:/tmp# ls -l old/snortrules-snapshot-2962.tar.gz <br class="">
> -rwxrwxrwx 1 dev dev 33080965 Aug 21 10:34 snortrules-snapshot-2962.tar.gz<br class="">
>  <br class="">
> dev@...1900...:/tmp$ md5sum old/snortrules-snapshot-2962.tar.gz<br class="">
> 2b84e9aee0f2eaf32e51a1375ec824f5<br class="">
>  <br class="">
> The ruleset released on the 21 August was stripped out of these new shared object rules:<br class="">
>  <br class="">
><span class="Apple-converted-space"> </span><br class="">
> dev@...1900...:/tmp# ls -l new/snortrules-snapshot-2962.tar.gz <br class="">
> -rwxrwxrwx 1 dev dev 25374704 Aug 21 10:34 snortrules-snapshot-2962.tar.gz<br class="">
>  <br class="">
> dev@...1900...:/tmp$ md5sum new/snortrules-snapshot-2962.tar.gz <br class="">
> 9ddb9552995f5c637d11d690623bf414  snortrules-snapshot-2962.tar.gz<br class="">
>  <br class="">
> Note the size difference. This is also evident if you list (ls -l) the so_rules directory of both rulesets. The old one definitely contains the categories as specified by the blog post, the newer one does not. If your rules stubs are individually included
 in snort.conf rather than the all-one-file (snort.rules) as generated by PulledPork, then the above could be the reason.<br class="">
>  <br class="">
> YM<br class="">
>  <br class="">
>  <br class="">
> > From: <a href="mailto:greg.mcnathansonsnuf003@...16876..." class="">greg.mcnathansonsnuf003@...16876...</a><br class="">
> > To: <a href="mailto:snort-users@lists.sourceforge.net" class="">snort-users@lists.sourceforge.net</a><br class="">
> > Date: Sat, 23 Aug 2014 19:48:30 +0200<br class="">
> > Subject: [Snort-users] Missing shared object files in snapshot download file<br class="">
> ><br class="">
> > I read about the reconstruction of shared object rules in the blog. So I'm confused about the missing file report. (see below)<br class="">
> ><br class="">
> > ....<br class="">
> > Aug 23 19:22:40 c1 snort[801]: FATAL ERROR: /etc/snort//etc/snort/so_rules/browser-other.rules(0) Unable to open rules file "/etc/snort//etc/snort/so_rules/browser-other.rules": No such file or directo<br class="">
> > Aug 23 19:22:40 c1 snort[796]: Starting snort: [FAILED]<br class="">
> > Aug 23 19:22:40 c1 snort[805]: Stopping snort: [FAILED]<br class="">
> > Aug 23 19:22:40 c1 systemd[1]: Started Snort IDS system.<br class="">
> > ...<br class="">
> ><br class="">
> > The stub file couldn't be generated because the browser-other.so file isn't delivered in the latest snapshot download file.<br class="">
> > There are more files missing not only browser-other.so. I expected all files listed in the blog to be included in the snapshot download file.<br class="">
> ><br class="">
> > Is this a planned measurement of the reconstruction of shared object rules?<br class="">
> ><br class="">
> > Greg<br class="">
> ><br class="">
> ><br class="">
> > ------------------------------------------------------------------------------<br class="">
> > Slashdot TV.<br class="">
> > Video for Nerds. Stuff that matters.<br class="">
> > <a href="http://tv.slashdot.org/" class="">http://tv.slashdot.org/</a><br class="">
> > _______________________________________________<br class="">
> > Snort-users mailing list<br class="">
> > <a href="mailto:Snort-users@lists.sourceforge.net" class="">Snort-users@lists.sourceforge.net</a><br class="">
> > Go to this URL to change user options or unsubscribe:<br class="">
> > <a href="https://lists.sourceforge.net/lists/listinfo/snort-users[https://lists.sourceforge.net/lists/listinfo/snort-users]" class="">
https://lists.sourceforge.net/lists/listinfo/snort-users[https://lists.sourceforge.net/lists/listinfo/snort-users]</a><br class="">
> > Snort-users list archive:<br class="">
> > <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users[http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users]" class="">
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users[http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users]</a><br class="">
> ><br class="">
> > Please visit <a href="http://blog.snort.org[http://blog.snort.org]" class="">
http://blog.snort.org[http://blog.snort.org]</a> to stay current on all the latest Snort news!<br class="">
</div>
</div>
<br class="">
------------------------------------------------------------------------------ Slashdot TV. Video for Nerds. Stuff that matters.
<a href="http://tv.slashdot.org/" class="">http://tv.slashdot.org/</a><br class="">
_______________________________________________ Snort-users mailing list <a href="mailto:Snort-users@lists.sourceforge.net" class="">
Snort-users@lists.sourceforge.net</a> Go to this URL to change user options or unsubscribe:
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" class="">https://lists.sourceforge.net/lists/listinfo/snort-users</a> Snort-users list archive:
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" class="">
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a> Please visit
<a href="http://blog.snort.org" class="">http://blog.snort.org</a> to stay current on all the latest Snort news!</div>
</div>
</div>
</div>
</blockquote>
</div>
<br class="">
</div>
</body>
</html>