Bleeding Edge Snort

You could add the rule manually via webadmin (at least if there are specific ones you are interested in). You could also import from a file at the command line, but this would 1) probably get overwritten by the next ruleset Up2Date and 2) void your support.

[ QUOTE ]
You could add the rule manually via webadmin ....

[/ QUOTE ]

I just tried this, but i think i`ve done something wrong...

It is about this new WMF Exploit.

I found this on bleedingsnort.com:

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"BLEEDING-EDGE EXPLOIT WMF Escape Record Exploit"; flow:established,from_server; content:"|01 00 09 00 00 03|"; depth:500; content:"|00 00|"; distance:10; within:12; content:"|26 06 09 00|"; within:5000; classtype:attempted-user; reference:url,www.frsirt.com/english/advisories/2005/3086; sid:2002733; rev:1[;)]

So i tried on the ASG:

Description: BLEEDING-EDGE EXPLOIT WMF Escape Record Exploit

Selector: tcp $EXTERNAL_NET any -> $HOME_NET any

Filter: flow:established,from_server; content:"|01 00 09 00 00 03|"; depth:500; content:"|00 00|"; distance:10; within:12; content:"|26 06 09 00|"; within:5000; classtype:attempted-user; reference:url,www.frsirt.com/english/advisories/2005/3086; sid:2002733; rev:1;

But after adding that rule, i can`t surf anymore.
("Server for this Side is not reachable")

I tried to add the "msg:"BLEEDING-.." for the "flow: established..", remove the last ";" and finaly to find the correct Snort syntax on snort.org.
There are so many infos, but i can`t find the correct syntax to add that rule into the IDS of the ASG...  [:S]

Hope you could help me.

There is an example in the built-in help in the webmin.

Barry

There is an example in the built-in help in the webmin.

Barry

That was the first place i look at, and the second was the manual.
But sorry, i dont`t see my mistake...

Description: no question  [;)]
Selector: i think this is also ok
Filter: this is all what the HELP says:"The actual recognition part of this rule in Snort syntax (e.g., "dsize: >800;"). "
The manual says that i must finish with ";" - i did it... 

To be honest - i don`t realy understand all these parameters, but i want to react in time and it would be nice if someone could tell me, how to add that rule.

notec

Hi, 

I have also tried to add local astaro rules to block the current Windows WMF exploit (from bleedingedge).  The problem seems to be that Astaro adds certain elements to each rule automagically, and if you also specify one of those elements in your filter, then snort will fail to load at all and you will not be able to surf.  

To fix this, look in the IDS live log and you will see it complain about your new rule and die.  Just remove the elements that it does not like until snort loads.  For the WMF bleeding edge rule to load I had to remove the "msg", "sid", and "classtype" elements (if I remember correctly).

I am still not sure that the rule is working correctly, but snort does load at least.  There is another built in rule in web-client called "
WEB-CLIENT Microsoft wmf metafile access - ID 2436" that hits the only test I have of the newer WMF exploit.  

Can anyone with better knowledge of snort let us know if the exisiting WMF rule will block all of the new exploits?  Or if the bleeding edge rule works correctly?  I am not confident in my ability to test this well.

Thanks