<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Courier, sans-serif;">
<div>
<div>
<p style="font-family: Times; font-size: medium; font-variant-ligatures: normal; orphans: 2; widows: 2;">
"A good rule that looks for root login on ftp would be:</p>
<p style="font-family: Times; font-size: medium; font-variant-ligatures: normal; orphans: 2; widows: 2;">
</p>
<pre style="font-variant-ligatures: normal; orphans: 2; widows: 2;">    alert tcp any any -> any 21 (flow:to_server,established; \
        content:"root"; pcre:"/user\s+root/i”;)”</pre>
<pre style="font-variant-ligatures: normal; orphans: 2; widows: 2;"><br></pre>
<pre style="font-variant-ligatures: normal; orphans: 2; widows: 2;">Taken from the snort manual here:</pre>
<pre style="font-variant-ligatures: normal; orphans: 2; widows: 2;"><a href="http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node36.html">http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node36.html</a></pre>
<pre style="font-variant-ligatures: normal; orphans: 2; widows: 2;"><br></pre>
</div>
<div>
<div id="MAC_OUTLOOK_SIGNATURE">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Chris Sandford <<a href="mailto:chris.sandford@...17499...">chris.sandford@...17499...</a>><br>
<span style="font-weight:bold">Date: </span>Tuesday, January 24, 2017 at 9:48 AM<br>
<span style="font-weight:bold">To: </span>'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-users] Monitor Authentication<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
<div lang="EN-GB" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Looking to run Snort to monitor authentication attempts on external facing devices.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Does anyone have an example of a rule looking at a single IP of a device for monitoring login attempts. The rule would alert for failed and successful logins if detected.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">In my example the login method would be to monitor SSH login attempts on an external facing device, although this is blocked by default it would be good to monitor for attempted logon requests.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks, <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p style="font-family:Arial, Helvetica, sans-serif; font-size:9px">SMS Head Office : Starling House, Lancelot Road, Beacon Park, Gorleston-on-Sea, Great Yarmouth, Norfolk, NR31 7BF<br>
Tel: +44 (0)1493 ?655515 Fax : +44 (0)1493 655516 Website: <a href="www.sms-alderley.com">
www.sms-alderley.com</a>? Email: <a href="mailto:enquiries@...17501...">enquiries@...17501...</a><br>
<br>
Parent Company Head Office: Alderley plc, Arnolds Field Estate, The Downs, Wickwar, Gloucestershire, GL12 8JD<br>
Tel: +44(0)1454 294556 Fax: +44 (0)1454 299272 Website : <a href="www.alderley.com">
www.alderley.com</a> Sales : <a href="mailto:sales@...17502...">sales@...17502...</a><br>
<br>
This email and its contents are confidential and are solely for the use of the intended recipient. If you are not the original recipient you have received it in error and any use, dissemination, forwarding, printing or copying of this email is strictly prohibited.
 Should you receive this email in error please immediately notify <a href="mailto:helpdesk@...17502...">
helpdesk@...17502...</a>. This email has been scanned for viruses, trojans and malware however it is your responsibility to ensure your systems are protected that this email is properly scanned before opening.<br>
<br>
SMS is a member of the Alderley Group.</p>
<p class="MsoNormal"><font size="5" color="#339966" face="Webdings"><span style="font-size:20.0pt;font-family:Webdings;color:#339966">P
</span></font><font size="2" color="#339966" face="Tahoma"><span style="font-size:10.0pt;font-family:
Tahoma;color:#339966">It takes 24 trees to produce 1 tonne of office paper!?Think… is it really necessary to print this email?</span></font><font color="#17365d"><span style="color:#17365D"><o:p></o:p></span></font></p>
</div>
</div>
</span></span>
</body>
</html>