Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 17 replies
  • Subscribers 0 subscribers
  • Views 6423 views
  • Users 0 members are here
Options
Suggested

[9.171][QUESTION] rules ips

simby
Why do Sophos have so litel signiture? On pfsense with snort, i have 5 times more, with all optios (Oracle, user agent, netbios,apache, ntp, ftp, smtp,..., .).
Parents
  • 0
    Hi!

     i don t see any rules update from 12-12-2013 fronm snort.org. I have the same rules id, from last month.

    New rules on snort:

    Snort :: Changes 2013-12-12
    New Rules:

     * 1:28907  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28908  ENABLED  SERVER-OTHER Nagios core config manager tfpassword sql injection attempt (server-other.rules)
     * 1:28905  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28906  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28903  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28904  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28902  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28899  ENABLED  FILE-IDENTIFY eSignal .por file attachment detected (file-identify.rules)
     * 1:28894  ENABLED  FILE-IDENTIFY eSignal .ets file attachment detected (file-identify.rules)
     * 1:28896  ENABLED  FILE-IDENTIFY eSignal .quo file attachment detected (file-identify.rules)
     * 1:28897  ENABLED  FILE-IDENTIFY eSignal .sum file attachment detected (file-identify.rules)
     * 1:28900  ENABLED  FILE-IDENTIFY eSignal .sum file attachment detected (file-identify.rules)
     * 1:28901  ENABLED  FILE-IDENTIFY eSignal .ets file download request (file-identify.rules)
     * 1:28895  ENABLED  FILE-IDENTIFY eSignal .por file attachment detected (file-identify.rules)
     * 1:28898  ENABLED  FILE-IDENTIFY eSignal .ets file attachment detected (file-identify.rules)
     * 1:28912  DISABLED  SERVER-WEBAPP Joomla simple RSS reader admin.rssreader.php remote file include attempt (server-webapp.rules)
     * 1:28911  ENABLED  EXPLOIT-KIT Neutrino exploit kit initial outbound request - generic detection (exploit-kit.rules)
     * 1:28910  DISABLED  SERVER-WEBAPP mcRefer install.php arbitrary PHP code injection attempt (server-webapp.rules)
     * 1:28909  DISABLED  SERVER-WEBAPP OTManager ADM_Pagina.php remote file include attempt (server-webapp.rules)
    Modified Rules:

     * 1:28496  ENABLED  BROWSER-IE Microsoft Internet Explorer createRange user after free attempt (browser-ie.rules)
     * 1:28893  DISABLED  BROWSER-OTHER known revoked certificate for Tresor CA (browser-other.rules)
     * 1:20843  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
Reply
  • 0
    Hi!

     i don t see any rules update from 12-12-2013 fronm snort.org. I have the same rules id, from last month.

    New rules on snort:

    Snort :: Changes 2013-12-12
    New Rules:

     * 1:28907  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28908  ENABLED  SERVER-OTHER Nagios core config manager tfpassword sql injection attempt (server-other.rules)
     * 1:28905  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28906  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28903  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28904  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28902  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28899  ENABLED  FILE-IDENTIFY eSignal .por file attachment detected (file-identify.rules)
     * 1:28894  ENABLED  FILE-IDENTIFY eSignal .ets file attachment detected (file-identify.rules)
     * 1:28896  ENABLED  FILE-IDENTIFY eSignal .quo file attachment detected (file-identify.rules)
     * 1:28897  ENABLED  FILE-IDENTIFY eSignal .sum file attachment detected (file-identify.rules)
     * 1:28900  ENABLED  FILE-IDENTIFY eSignal .sum file attachment detected (file-identify.rules)
     * 1:28901  ENABLED  FILE-IDENTIFY eSignal .ets file download request (file-identify.rules)
     * 1:28895  ENABLED  FILE-IDENTIFY eSignal .por file attachment detected (file-identify.rules)
     * 1:28898  ENABLED  FILE-IDENTIFY eSignal .ets file attachment detected (file-identify.rules)
     * 1:28912  DISABLED  SERVER-WEBAPP Joomla simple RSS reader admin.rssreader.php remote file include attempt (server-webapp.rules)
     * 1:28911  ENABLED  EXPLOIT-KIT Neutrino exploit kit initial outbound request - generic detection (exploit-kit.rules)
     * 1:28910  DISABLED  SERVER-WEBAPP mcRefer install.php arbitrary PHP code injection attempt (server-webapp.rules)
     * 1:28909  DISABLED  SERVER-WEBAPP OTManager ADM_Pagina.php remote file include attempt (server-webapp.rules)
    Modified Rules:

     * 1:28496  ENABLED  BROWSER-IE Microsoft Internet Explorer createRange user after free attempt (browser-ie.rules)
     * 1:28893  DISABLED  BROWSER-OTHER known revoked certificate for Tresor CA (browser-other.rules)
     * 1:20843  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
Children
No Data
Unfiltered HTML