]> git.pld-linux.org Git - packages/snort.git/commitdiff
c10f93407831dcd2243a3ded2c0874c5 README.snort-stuff
authorMaciej Pijanka <agaran@pld-linux.org>
Sat, 4 Nov 2000 01:08:05 +0000 (01:08 +0000)
committercvs2git <feedback@pld-linux.org>
Sun, 24 Jun 2012 12:13:13 +0000 (12:13 +0000)
13e3452fe6b928f29ef42f03b9f82aec  rules.base
5d628b08c0bf42af3affc9fcfca7ea69  snort-1.6.3.tar.gz
5628e214be85f50cc86d6d5f8a6f7f6f  snort-update
9aec8ae0fe19d554744ee015ed2b081d  snortd
76d4a1803135fbe7a43c06da0c89baef  vision.rules

Changed files:
    README.snort-stuff -> 1.1
    rules.base -> 1.1
    snort-update -> 1.1
    snortd -> 1.1
    vision.rules -> 1.1

README.snort-stuff [new file with mode: 0644]
rules.base [new file with mode: 0644]
snort-update [new file with mode: 0644]
snortd [new file with mode: 0644]
vision.rules [new file with mode: 0644]

diff --git a/README.snort-stuff b/README.snort-stuff
new file mode 100644 (file)
index 0000000..b3c395b
--- /dev/null
@@ -0,0 +1,94 @@
+$Header$
+
+The following scripts were developed from ideas gleaned from the snort
+mailing list, with some stuff I came up with on my own.  It makes
+for a fairly easy to manage and simple snort configuration on a Red
+Hat Linux system.
+
+The basic files are included in the snort-stuff.tar file (which unpacks the
+files into the right places for each file, if untarred in the / directory.)
+This README file then resides in /usr/doc/snort-stuff (to go along with Red
+Hat's documentation directory structure.)  This is the net effect of
+what an RPM file would do, but I don't have time right now to go that
+far.  You can find the original at:
+
+       http://staff.washington.edu/dittrich/misc/snort-stuff.tar
+
+Right now, the basic files are:
+
+/usr/doc/snort-stuff/README.snort-stuff
+                               This file.
+/etc/rc.d/init.d/snort         Red Hat Linux startup script for snort
+/usr/local/etc/check-snort     Daily checkup script (run by cron)
+/usr/local/etc/rules.base      Base rules file (needs to be modified
+                               to suit your network.)
+
+INSTALLATION
+
+1).  Unpack the files.
+
+You can just unpack this tar file into /, like this:
+
+       # cd /
+       # tar -xvf /path/to/snort-stuff.tar
+       etc/rc.d/init.d/snort
+       usr/local/etc/check-snort
+       usr/local/etc/rules.base
+       usr/doc/snort-stuff/README
+
+2).  Create snort log and archive directories.
+
+The "snort" rc startup script and "check-snort" log file processor
+assume you are using the rules.base as defined here, and that you store
+snort log files in /var/log/snort and archive prior days' logs in
+/var/log/snort/archive.  Create these now if they don't already exist:
+
+       # mkdir -p /var/log/snort/archive
+       # chown -R root.wheel /var/log/snort
+       # chmod -R 640 /var/log/snort
+
+3).  Set up snort rules files.
+
+You now must edit /usr/local/etc/rules.base to set your own network
+addresses and list of DNS servers you want to ignore for portscan
+reports (if you want to do this).
+
+You next need to set up your rules, which in this case are just the rules
+set up as part of ArachNIDS by Max Vision.  You can get these with
+"wget" (if you don't have it, you might as well install it now from your
+favorite Red Hat archive site, as it is needed by the "check-snort" script.)
+
+       # wget --output-document=/usr/local/etc/vision.rules \
+         http://dev.whitehats.com/ids/vision.rules
+
+4).  Set up daily checkup script.
+
+From the root account, edit your crontab (with "crontab -e") and add
+the following line (or one adjusted to fit the time of day you wish
+to process snort logs):
+
+       0 0 * * *       sh /usr/local/etc/check-snort
+
+5).  Configure snort startup script and start snort running.
+
+You now must install the snort startup script in order for snort to
+be run at boot and stopped/started by check-snort.
+
+       # chkconfig --add snort
+
+You can now start snort using this rc file.
+
+       # /etc/rc.d/init.d/snort start
+
+Lastly, check to see that it started correctly.
+
+       # /etc/rc.d/init.d/snort status
+       snort (pid 10739) is running...
+
+You will now be mailed copies of alert and portscan files, and
+notified of changes to the vision.rules file when necessary.  (You
+will also get email from cron with the snort stop/start messages to
+confirm that things are working as expected.)
+
+If you have any suggestions for changes, send them to me at
+<dittrich@cac.washington.edu>.
diff --git a/rules.base b/rules.base
new file mode 100644 (file)
index 0000000..6a016d5
--- /dev/null
@@ -0,0 +1,36 @@
+#
+# Taken and modified from "vision.conf", part of Max Vision's
+# ArachNIDs work.  See /usr/doc/snort-stuff/README.snort-stuff for more
+# information on how to use this file.
+
+var INTERNAL 192.168.1.0/24
+var EXTERNAL 63.87.101.0/24
+var DNSSERVERS 63.87.101.90/32 63.87.101.92/32
+
+preprocessor http_decode: 80 443 8080
+preprocessor minfrag: 128
+preprocessor portscan: $EXTERNAL 3 5 /var/log/snort/portscan.log
+preprocessor portscan-ignorehosts: $DNSSERVERS
+
+# Ruleset, available (updated hourly) from:
+#
+#   http://dev.whitehats.com/ids/vision.rules
+
+# Include the latest copy of Max Vision's ruleset
+include /etc/snort/vision.rules
+
+# Uncomment the next line if you wish to include the latest
+# copy of the snort.org ruleset.  Be sure to download the latest
+# one from http://www.snort.org/snort-files.htm#Rules
+#
+# include /etc/snort/06082k.rules
+
+#
+# If you wish to monitor multiple INTERNAL networks, you can include
+# another variable that defines the additional network, then include
+# the snort ruleset again.  Uncomment the two following lines.
+#
+# var INTERNAL 192.168.2.0/24
+# include /etc/snort/vision.rules
+
+# include other rules here if you wish.
diff --git a/snort-update b/snort-update
new file mode 100644 (file)
index 0000000..245b387
--- /dev/null
@@ -0,0 +1,120 @@
+#!/bin/bash
+#
+# Script inspired by snort mailing list discussion of managing
+# snort log files.  Uses Red Hat Linux startup script
+# /usr/rc.d/init.d/snortd.
+#
+# Place somewhere (e.g., /root) and run via cron like this:
+#   0 0 * * * root /etc/snort/check-snort
+
+# This script depends on you having "wget" installed.
+
+VERBOSE=1
+if [ "$1" !=  "-q" ]
+then
+       VERBOSE=
+fi
+
+PATH=/usr/bin:/bin
+MODE=640                               # What permissions should be set
+                                       # on log files?
+NOTIFY="root"                          # Who should the logs get mailed to?
+SNORTLOG=/var/log/snort                        # Where are the snort logs?
+VISIONRULES=/etc/snort/vision.rules    # Where are the sub-rules?
+                                       # (included by rules.base).
+ARCHIVE=$SNORTLOG/archive              # If you don't want to place old
+                                       # logs in an archive, make this null.
+DATE=`date --date=yesterday +%Y.%m.%d` # Yesterday's date.
+NOW=`date`                             # Duh.
+
+WGET=`which wget`
+if [ -z "$WGET" ]
+then
+       echo ""
+       echo "This script relies on wget and the ability to connect"
+       echo "to http://dev.whitehats.com from this host."
+       echo "Please install wget and re-run."
+       echo ""
+       exit 0
+fi
+
+cd $SNORTLOG
+
+# Rotate and mail copies of log files (the "right" way)
+if [ -s snort.alert ]; then
+       ln snort.alert snort.alert.$DATE
+       rm snort.alert
+       touch snort.alert
+       chmod $MODE snort.alert
+       (echo "To: $NOTIFY"; \
+        echo "Subject: SNORT: snort.alert.$DATE"; \
+        echo "Date: $NOW"; \
+        echo ""; \
+        cat snort.alert.$DATE) | /usr/lib/sendmail -t
+       if [ -d $ARCHIVE ]; then
+               mv snort.alert.$DATE $ARCHIVE
+       fi
+fi
+if [ -s portscan.log ]; then
+       ln portscan.log portscan.log.$DATE
+       rm portscan.log
+       touch portscan.log
+       chmod $MODE portscan.log
+       (echo "To: $NOTIFY"; \
+        echo "Subject: SNORT: portscan.log.$DATE"; \
+        echo "Date: $NOW"; \
+        echo ""; \
+        cat portscan.log.$DATE) | /usr/lib/sendmail -t
+       if [ -d $ARCHIVE ]; then
+               mv portscan.log.$DATE $ARCHIVE
+       fi
+fi
+
+# Restart snort (doing it with stop/start restarts the snort-NNNN@NNNN.log
+# file).
+if [ ! $VERBOSE ]
+then
+       /etc/rc.d/init.d/snortd stop
+       /etc/rc.d/init.d/snortd start
+else
+       /etc/rc.d/init.d/snortd stop >/dev/null
+       /etc/rc.d/init.d/snortd start >/dev/null
+fi
+
+
+# If we are archiving stuff, copy the second to last snort-NNNN@NNNN.log
+# file into the archive directory (leaving the current one and any older
+# ones there - this takes the one that goes with the portscan.log and
+# snort.alert files we just archived.)
+
+if [ -d $ARCHIVE ]; then
+       LASTLOG=`ls -1 snort-[0-9]*@[0-9]*.log 2>/dev/null | sort -r |\
+                head -2 | tail -1`
+       THISLOG=`ls -1 snort-[0-9]*@[0-9]*.log 2>/dev/null | sort -r |\
+                head -1`
+       if [ "x$LASTLOG" != "x" -a "x$THISLOG" != "x$LASTLOG" ]; then
+               mv $LASTLOG $ARCHIVE
+               chmod $MODE $ARCHIVE/$LASTLOG
+       fi
+fi
+
+# Check for new rules from whitehats.com and notify root of differences.
+wget -q --output-document=${VISIONRULES}.new \
+       http://dev.whitehats.com/ids/vision.rules
+
+chmod $MODE ${VISIONRULES}.new
+diff -q $VISIONRULES ${VISIONRULES}.new >/dev/null
+if [ $? -eq 1 ]; then
+       (echo "To: $NOTIFY"; \
+        echo "Subject: SNORT: Available changes to $VISIONRULES"; \
+        echo "Date: $NOW"; \
+        echo ""; \
+        echo "diff $VISIONRULES ${VISIONRULES}.new"; \
+        echo ""; \
+        diff $VISIONRULES ${VISIONRULES}.new; \
+        echo ""; \
+        echo "To update the rules, do:"; \
+        echo "    # mv ${VISIONRULES}.new $VISIONRULES") | /usr/lib/sendmail -t
+fi
+
+exit 0
diff --git a/snortd b/snortd
new file mode 100644 (file)
index 0000000..60eff89
--- /dev/null
+++ b/snortd
@@ -0,0 +1,50 @@
+#!/bin/sh
+#
+# snortd         Start/Stop the snort IDS daemon.
+#
+# chkconfig: 2345 40 60
+# description:  snort is a lightweight network intrusion detection tool that
+#              currently detects more than 1100 host and network
+#              vulnerabilities, portscans, backdoors, and more.
+#
+# June 10, 2000 -- Dave Wreski <dave@linuxsecurity.com>
+#   - initial version
+#
+# July 08, 2000 Dave Wreski <dave@guardiandigital.com>
+#   - added snort user/group
+#   - support for 1.6.2
+
+# Source function library.
+. /etc/rc.d/init.d/functions
+
+# Specify your network interface here
+INTERFACE=eth0
+
+# See how we were called.
+case "$1" in
+  start)
+       echo -n "Starting snort: "
+       daemon /usr/sbin/snort -u snort -g snort -s -d -D \
+               -i $INTERFACE -l /var/log/snort -c /etc/snort/rules.base
+       touch /var/lock/subsys/snort
+       echo
+       ;;
+  stop)
+       echo -n "Stopping snort: "
+       killproc snort
+       rm -f /var/lock/subsys/snort
+       echo 
+       ;;
+  restart)
+       $0 stop
+       $0 start
+       ;;
+  status)
+       status snort
+       ;;
+  *)
+       echo "Usage: $0 {start|stop|restart|status}"
+       exit 1
+esac
+
+exit 0
diff --git a/vision.rules b/vision.rules
new file mode 100644 (file)
index 0000000..6bfe413
--- /dev/null
@@ -0,0 +1,255 @@
+alert TCP $EXTERNAL any -> $INTERNAL 21 (msg: "IDS1/ADMw0rm-ftp-retrieval"; content: "USER w0rm|0D0A|"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 79 (msg: "IDS263/backdoor-cdk"; content: "ypi0ca"; nocase; flags: AP; depth: 15;)
+alert TCP $EXTERNAL any -> $INTERNAL 1966 (msg: "IDS222/Backdoor-FakeFTP"; flags: S;)
+alert TCP $EXTERNAL any -> $INTERNAL 1269 (msg: "IDS223/Backdoor-Matrix 1.x-2.0"; flags: S;)
+alert ICMP 255.255.255.0/24 any -> $INTERNAL any (msg: "IDS202/backdoor-Q-icmp"; itype: 0; dsize: >1;)
+alert TCP 255.255.255.0/24 any -> $INTERNAL any (msg: "IDS203/backdoor-Q-tcp"; flags: A; dsize: >1;)
+alert UDP 255.255.255.0/24 any -> $INTERNAL any (msg: "IDS201/backdoor-Q-udp"; dsize: >1;)
+alert TCP $INTERNAL 7161 -> $EXTERNAL any (msg: "IDS129/cisco-catalyst-remote-access"; flags: SA;)
+alert TCP $EXTERNAL 80 -> $INTERNAL any (msg: "IDS215/client-netscape47-overflow-retrieved"; content: "|33 C9 B1 10 3F E9 06 51 3C FA 47 33 C0 50 F7 D0 50|"; flags: AP;)
+alert TCP $INTERNAL any -> $EXTERNAL 80 (msg: "IDS214/client-netscape47-overflow-unsucessful"; content: "|33 C9 B1 10 3F E9 06 51 3C FA 47 33 C0 50 F7 D0 50|"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS149/cybercop-os-probe-pa12"; content: "AAAAAAAAAAAAAAAA"; flags: AP12; depth: 16;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS146/cybercop-os-probe-sf12"; flags: SF12; dsize: 0;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS145/cybercop-os-probe-sfp"; content: "AAAAAAAAAAAAAAAA"; flags: SFP; ack: 0; depth: 16;)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS150/cybercop-os-probe-sfu12"; content: "AAAAAAAAAAAAAAAA"; flags: SFU12; ack: 0; depth: 16;)
+alert UDP $INTERNAL any -> $EXTERNAL 20433 (msg: "IDS256/ddos-shaft-agent-to-handler"; content: "alive";)
+alert TCP $EXTERNAL any -> $INTERNAL 20432 (msg: "IDS254/ddos-shaft-client-to-handler"; flags: AP;)
+alert UDP $EXTERNAL any -> $INTERNAL 18753 (msg: "IDS255/ddos-shaft-handler-to-agent"; content: "alive tijgu";)
+alert TCP $EXTERNAL :1024 -> $INTERNAL any (msg: "IDS252/ddos-shaft-synflood-incoming"; flags: S; seq: 674711609;)
+alert TCP $INTERNAL :1024 -> $EXTERNAL any (msg: "IDS253/ddos-shaft-synflood-outgoing"; flags: S; seq: 674711609;)
+alert TCP $EXTERNAL any -> $INTERNAL 8080 (msg: "IDS267/delegate-proxy-overflow"; content: "whois|3a|//"; nocase; flags: AP; dsize: >1000;)
+alert TCP $EXTERNAL any -> $INTERNAL 53 (msg: "IDS212/dns-zone-transfer"; content: "|01 00 00 01 00 00 00 00 00 00|"; flags: AP; offset: 2; depth: 16;)
+alert TCP $EXTERNAL any -> $INTERNAL 21 (msg: "IDS257/dos-aix-ftpd"; content: "CEL"; flags: AP; dsize: >1300;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS260/dos-annex-terminal"; content: "ping?query"; flags: AP; dsize: >1400;)
+alert TCP $EXTERNAL any -> $INTERNAL 617 (msg: "IDS261/dos-arkiea-backup"; flags: AP; dsize: >1445;)
+alert UDP $EXTERNAL any -> $INTERNAL 9 (msg: "IDS262/dos-ascend-reboot"; content: "|4e414d454e414d45|"; offset: 25; depth: 50;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS264/dos-ath0"; content: "+++ath0"; nocase; itype: 8;)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS27/FIN Scan"; flags: F;)
+alert TCP $EXTERNAL any -> $INTERNAL 79 (msg: "IDS130/finger-.@host"; content: "|2E 0A 20 20 20 20|"; flags: AP; dsize: 6; depth: 6;)
+alert TCP $EXTERNAL any -> $INTERNAL 79 (msg: "IDS131/finger-0@host"; content: "|30 0A 20 20 20 20|"; flags: AP; dsize: 6; depth: 6;)
+alert TCP $EXTERNAL any -> $INTERNAL 79 (msg: "IDS132/finger-cybercop-query"; content: "|0A 20 20 20 20 20|"; flags: AP; depth: 10;)
+alert TCP $EXTERNAL any -> $INTERNAL 79 (msg: "IDS11/finger-cybercop-redirection"; content: "|40 6C 6F 63 61 6C 68 6F 73 74 0A|"; flags: AP; dsize: 11; depth: 11;)
+alert TCP $EXTERNAL any -> $INTERNAL 79 (msg: "IDS251/finger-redirection"; content: "@"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 21 (msg: "IDS134/FTP tar parameters"; content: "RETR --use-compress-program"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 21 (msg: "IDS213/ftp-passwd-retrieval"; content: "passwd"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS144/Full XMAS Scan"; flags: SFAPUR; ack: 0;)
+alert TCP $INTERNAL 80 -> $EXTERNAL any (msg: "IDS276/http-cgi-bugzilla-exploit"; content: "blaat@blaat.com"; nocase; flags: AP; content: "process_bug.cgi"; offset: 5; depth: 64; nocase;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS275/http-cisco-crash"; content: "|20 2F 25 25|"; flags: AP; depth: 16;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS135/ICMP Redirect Host"; itype: 5; icode: 1;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS199/ICMP Redirect Net"; itype: 5; icode: 0;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS216/ICMP subnet mask request"; itype: 17;)
+alert TCP $EXTERNAL any -> $INTERNAL 143 (msg: "IDS147/IMAP-x86-linux-buffer-overflow"; content: "|e8 c0ff ffff|/bin/sh"; flags: AP; dsize: >100;)
+alert TCP $EXTERNAL any -> $INTERNAL 1417 (msg: "IDS229/insecure-timbuktu-password"; content: "|05 00 3E|"; flags: AP; depth: 16;)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS236/ipeye-syn-scan"; flags: S; seq: 1958810375;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS173/IRDP Router Advertisement"; itype: 9;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS174/IRDP Router Selection"; itype: 10;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS246/large-icmp"; dsize: >800;)
+alert UDP $EXTERNAL any -> $INTERNAL any (msg: "IDS247/large-udp"; dsize: >800;)
+alert TCP $EXTERNAL any -> $INTERNAL 21 (msg: "IDS2/mworm-ftp-retrieval"; content: "USER mw|0D0A|"; flags: AP;)
+alert UDP $EXTERNAL any -> $INTERNAL 53 (msg: "IDS277/named-probe-iquery"; content: "|0980 0000 0001 0000 0000|"; offset: 2; depth: 16;)
+alert UDP $EXTERNAL any -> $INTERNAL 53 (msg: "IDS278/named-probe-version"; content: "|07|version|04|bind|00 0010 0008|"; nocase; offset: 13; depth: 32;)
+alert UDP $EXTERNAL any -> $INTERNAL 137 (msg: "IDS177/netbios-name-query"; content: "CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|00 00|";)
+alert TCP $EXTERNAL any -> $INTERNAL 32771: (msg: "IDS26/nfs-showmount"; content: "|00 01 86 A5 00 00 00 01 00 00 00 05 00 00 00 01|"; flags: AP; offset: 16; depth: 32;)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS5/NMAP Fingerprint attempt"; flags: SFPU;)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS28/NMAP TCP ping"; flags: A; ack: 0;)
+alert TCP $EXTERNAL any -> $INTERNAL 119 (msg: "IDS274/nntp-overflow-cassandra"; content: "AUTHINFO USER"; nocase; flags: AP; dsize: >512; depth: 16;)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS181/nops-x86"; content: "|90 90 90 90 90 90 90 90 90 90 90 90|"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 139 (msg: "IDS204/NT NULL session"; content: "|00 00 00 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 20 00 4E 00 54 00 20 00 31 00 33 00 38 00 31|"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS4/NULL Scan"; flags: 0; seq: 0; ack: 0;)
+alert TCP $EXTERNAL 6000:6005 -> $INTERNAL any (msg: "IDS126/Outgoing Xterm"; flags: SA;)
+alert TCP $INTERNAL 5632 -> $EXTERNAL any (msg: "IDS240/pcanywhere-failed"; content: "Invalid login"; flags: AP; depth: 16;)
+alert UDP $EXTERNAL any -> $INTERNAL 5632 (msg: "IDS239/pcanywhere-start"; content: "ST"; depth: 2;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS151/Ping BeOS 4.x"; content: "|00000000000000000000000008090a0b|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS152/Ping BSDtype"; content: "|08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS153/Ping Cisco IOS 9.x"; content: "|abcdabcdabcdabcdabcdabcdabcdabcd|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS178/Ping CyberCop55"; content: "|00 00 20 20 20 20 20 20 20 20 20|"; itype: 8; icmp_seq: 18467; offset: 7; depth: 18;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS154/Ping CyberKit 2.2 Windows"; content: "|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS155/Ping Delphi-Piette Windows"; content: "|50696e67696e672066726f6d2044656c|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS156/Ping Flowpoint 2200 DSL Router"; content: "|0102030405060708090a0b0c0d0e0f10|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS157/Ping IPNetMonitor Macintosh"; content: "|a9205375737461696e61626c6520536f|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS158/Ping ISS Pinger"; content: "ISSPNGRQ"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS159/Ping Microsoft Windows"; content: "|6162636465666768696a6b6c6d6e6f70|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS161/Ping NetworkToolbox3 Windows"; content: "|3d3d3d3d3d3d3d3d3d3d3d3d3d3d3d3d|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS162/Ping Nmap 2.36BETA"; itype: 8; dsize: 0;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS163/Ping OpenBSD-Linux"; content: "|101112131415161718191a1b1c1d1e1f|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS164/Ping Ping-O-Meter Windows"; content: "|4f4d657465724f6265736541726d6164|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS165/Ping Pinger Windows"; content: "|44617461000000000000000000000000|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS166/Ping Seer Windows"; content: "|88042020202020202020202020202020|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS167/Ping TJPingPro 1.1 Build 2 Windows"; content: "|544a50696e6750726f206279204a696d|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS168/Ping Whatsup Gold Windows"; content: "|57686174735570202d2041204e657477|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS169/Ping Win2000"; content: "|61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70|"; itype: 8; depth: 32;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS171/Ping zeros"; content: "|00000000000000000000000000000000|"; itype: 8; depth: 32;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS18/portmap-request-admind"; content: "|01 86 F7 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS19/portmap-request-amountd"; content: "|01 87 03 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS16/portmap-request-bootparam"; content: "|01 86 BA 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS17/portmap-request-cmsd"; content: "|01 86 E4 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS13/portmap-request-mountd"; content: "|01 86 A5 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS21/portmap-request-nisd"; content: "|01 87 cc 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS22/portmap-request-pcnfsd"; content: "|02 49 f1 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS23/portmap-request-rexd"; content: "|01 86 B1 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS10/portmap-request-rstatd"; content: "|01 86 A1 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS133/portmap-request-rusers"; content: "|01 86 A2 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS20/portmap-request-sadmind"; content: "|01 87 88 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS25/portmap-request-selection_svc"; content: "|01 86 AF 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS15/portmap-request-status"; content: "|01 86 B8 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS24/portmap-request-ttdbserv"; content: "|01 86 F3 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS14/portmap-request-yppasswd"; content: "|01 86 A9 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS12/portmap-request-ypserv"; content: "|01 86 A4 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 111 (msg: "IDS125/portmap-request-ypupdated"; content: "|01 86 BC 00 00|"; offset: 40; depth: 8;)
+alert UDP $EXTERNAL any -> $INTERNAL 31337 (msg: "IDS188/probe-back-orifice";)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS29/Queso Fingerprint attempt"; flags: S12;)
+alert TCP $EXTERNAL any -> $INTERNAL 634:1400 (msg: "IDS217/rpc-amd-overflow"; content: "|80 00 04 2C 4C 15 75 5B 00 00 00 00 00 00 00 02|"; flags: AP; depth: 32;)
+alert UDP $EXTERNAL any -> $INTERNAL 32770: (msg: "IDS9/rpc-rstatd-query"; content: "|00 00 00 00 00 00 00 02 00 01 86 A1|"; offset: 5;)
+alert UDP $EXTERNAL any -> $INTERNAL 32770: (msg: "IDS136/rpc-rusers-query"; content: "|00 00 00 00 00 00 00 02 00 01 86 A2|";)
+alert TCP $EXTERNAL any -> $INTERNAL 32771:34000 (msg: "IDS241/rpc.ttdbserv-solaris-kill"; content: "|00 01 86 F3 00 00 00 01 00 00 00 0F 00 00 00 01|"; flags: AP; offset: 16; depth: 32;)
+alert TCP $EXTERNAL any -> $INTERNAL 32771:34000 (msg: "IDS242/rpc.ttdbserv-solaris-overflow"; content: "|C0 22 3F FC A2 02 20 09 C0 2C 7F FF E2 22 3F F4|"; flags: AP; dsize: >999;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS266/smtp-chameleon-overflow"; content: "HELP"; nocase; flags: AP; dsize: >500; depth: 10;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS245/smtp-cmail-buffer-overflow"; content: "VRFY AAAAAAAAAAA"; flags: AP; dsize: >500;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS120/SMTP-exploit41"; content: "rcpt to|3a 20 7c 20 73 65 64 20 27 31 2C 2F 5E 24 2F 64 27 7c|"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS119/SMTP-exploit555"; content: "mail from|3a20227c|"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS172/SMTP-exploit558"; content: "|7c 73 65 64 20 2d 65 20 27 31 2c 2f 5e 24 2f 27|"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS121/SMTP-exploit564"; content: "rcpt to|3a| decode"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS122/SMTP-exploit565"; content: "MAIL FROM|3a207c|/usr/ucb/tail"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS123/SMTP-exploit8610"; content: "Croot|0d0a|Mprog, P=/bin/"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS124/SMTP-exploit8610ha"; content: "Croot|09090909090909|Mprog, P=/bin"; flags: AP;)
+alert TCP $EXTERNAL 113 -> $INTERNAL 25 (msg: "IDS139/SMTP-exploit869a"; content: "|0a|C|3a|daemon|0a|R"; flags: AP;)
+alert TCP $EXTERNAL 113 -> $INTERNAL 25 (msg: "IDS140/SMTP-exploit869b"; content: "|0a|D/"; flags: AP;)
+alert TCP $EXTERNAL 113 -> $INTERNAL 25 (msg: "IDS141/SMTP-exploit869c"; content: "|0a|Croot|0d0a|Mprog"; flags: AP;)
+alert TCP $EXTERNAL 113 -> $INTERNAL 25 (msg: "IDS142/SMTP-exploit869d"; content: "|0a|Croot|0a|Mprog"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS32/SMTP-expn-decode"; content: "expn decode"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS31/SMTP-expn-root"; content: "expn root"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS143/SMTP-MajordomoIFS"; content: "${IFS}"; flags: AP;)
+alert TCP $INTERNAL 25 -> $EXTERNAL any (msg: "IDS249/smtp-relay-denied"; content: "5.7.1"; flags: AP; depth: 70;)
+alert TCP $EXTERNAL any -> $INTERNAL 25 (msg: "IDS273/sniffit-overflow-linux"; content: "from|3A 90 90 90 90 90 90 90 90 90 90 90|"; nocase; flags: AP; dsize: >512;)
+alert TCP $EXTERNAL any -> $INTERNAL 1080 (msg: "IDS175/socks-probe"; flags: S; ack: 0;)
+alert TCP $INTERNAL 1080 -> $EXTERNAL any (msg: "IDS176/socks4-active"; content: "|04 5A|"; flags: AP; depth: 2;)
+alert TCP $EXTERNAL 20 -> $INTERNAL 0:1023 (msg: "IDS6/SourcePortTraffic-20-tcp"; flags: S;)
+alert TCP $EXTERNAL 53 -> $INTERNAL 0:1023 (msg: "IDS7/SourcePortTraffic-53-tcp"; flags: S;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS116/SourceRoute-ICMP-lssr"; ipopts: lsrr ;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS117/SourceRoute-ICMP-lssre"; ipopts: lsrre ;)
+alert TCP $INTERNAL 722 -> $EXTERNAL any (msg: "IDS280/ssh-freebsd40-port"; content: "SSH-"; flags: AP; dsize: <40; depth: 5;)
+alert TCP $EXTERNAL any -> $INTERNAL 16660 (msg: "IDS179/stacheldraht client"; flags: S;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS190/stacheldraht client-check"; content: "skillz"; itype: 0; icmp_id: 666;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS194/stacheldraht client-check-gag"; content: "gesundheit!"; itype: 0; icmp_id: 39938;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS192/stacheldraht client-spoofworks"; content: "spoofworks"; itype: 0; icmp_id: 1000;)
+alert ICMP $INTERNAL any -> $EXTERNAL any (msg: "IDS191/stacheldraht server-response"; content: "ficken"; itype: 0; icmp_id: 667;)
+alert ICMP $INTERNAL any -> $EXTERNAL any (msg: "IDS195/stacheldraht server-response-gag"; content: "sicken"; itype: 0; icmp_id: 669;)
+alert ICMP 3.3.3.3/32 any -> any any (msg: "IDS193/stacheldraht server-spoof"; itype: 8; icmp_id: 666;)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS198/SYN FIN Scan"; flags: SF;)
+alert TCP $INTERNAL 23 -> $EXTERNAL any (msg: "IDS8/telnet-daemon-active"; content: "|FF FD 18 FF FD 1F FF FD 23 FF FD 27 FF FD 24|"; flags: AP;)
+alert TCP $INTERNAL 23 -> $EXTERNAL any (msg: "IDS127/telnet-login-incorrect"; content: "Login incorrect"; flags: AP; depth: 16;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS184/tfn-client-command-be"; itype: 0; icmp_id: 456; icmp_seq: 0;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS183/tfn-client-command-le"; itype: 0; icmp_id: 51201; icmp_seq: 0;)
+alert ICMP $INTERNAL any -> $EXTERNAL any (msg: "IDS182/tfn-server-response"; content: "shell bound to port"; itype: 0; icmp_id: 123; icmp_seq: 0;)
+alert UDP $EXTERNAL any -> $INTERNAL 69 (msg: "IDS137/TFTP parent directory"; content: "..";)
+alert UDP $EXTERNAL any -> $INTERNAL 69 (msg: "IDS138/TFTP root directory"; content: "|00 01|/";)
+alert UDP $EXTERNAL any -> $INTERNAL 69 (msg: "IDS148/TFTP write"; content: "|00 02|"; depth: 2;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS118/Traceroute ICMP"; ttl: 1; itype: 8;)
+alert ICMP $EXTERNAL any -> $INTERNAL any (msg: "IDS238/Traceroute IPOPTS"; ipopts: rr ; itype: 0;)
+alert TCP $EXTERNAL any -> $INTERNAL any (msg: "IDS3/Traceroute TCP"; ttl: 1;)
+alert UDP $EXTERNAL any -> $INTERNAL any (msg: "IDS115/Traceroute UDP"; ttl: 1;)
+alert TCP $EXTERNAL any -> $INTERNAL 27665 (msg: "IDS196/trin00-attacker-to-master"; content: "betaalmostdone"; flags: AP;)
+alert UDP $EXTERNAL any -> $INTERNAL 31335 (msg: "IDS185/trin00-daemon-to-master"; content: "*HELLO*";)
+alert UDP any any -> any 31335 (msg: "IDS187/trin00-daemon-to-master-pong"; content: "PONG";)
+alert UDP $EXTERNAL any -> $INTERNAL 27444 (msg: "IDS197/trin00-master-to-daemon"; content: "l44adsl";)
+alert UDP $EXTERNAL any -> $INTERNAL 27444 (msg: "IDS186/trin00-master-to-daemon-png"; content: "png l44";)
+alert TCP $INTERNAL 777 -> $EXTERNAL any (msg: "IDS114/trojan-active-aimspy"; flags: SA;)
+alert TCP $INTERNAL 10666 -> $EXTERNAL any (msg: "IDS113/trojan-active-ambush"; flags: SA;)
+alert TCP $INTERNAL 666 -> $EXTERNAL any (msg: "IDS112/trojan-active-attackftp"; flags: SA;)
+alert UDP $INTERNAL 31337 -> $EXTERNAL any (msg: "IDS189/trojan-active-back-orifice";)
+alert TCP $INTERNAL 20331 -> $EXTERNAL any (msg: "IDS111/trojan-active-bla"; flags: SA;)
+alert TCP $INTERNAL 5400 -> $EXTERNAL any (msg: "IDS110/trojan-active-bladerunner"; flags: SA;)
+alert TCP $INTERNAL 1042 -> $EXTERNAL any (msg: "IDS109/trojan-active-blah11"; flags: SA;)
+alert TCP $INTERNAL 20203 -> $EXTERNAL any (msg: "IDS108/trojan-active-chupacabra"; flags: SA;)
+alert TCP $INTERNAL 10607 -> $EXTERNAL any (msg: "IDS107/trojan-active-coma"; flags: SA;)
+alert TCP $INTERNAL 6670 -> $EXTERNAL any (msg: "IDS106/trojan-active-deepthroat"; flags: SA;)
+alert TCP $INTERNAL 6883 -> $EXTERNAL any (msg: "IDS105/trojan-active-deltasource"; flags: SA;)
+alert TCP $INTERNAL 65000 -> $EXTERNAL any (msg: "IDS104/trojan-active-devil103"; flags: SA;)
+alert TCP $INTERNAL 12701 -> $EXTERNAL any (msg: "IDS103/trojan-active-eclipse2000"; flags: SA;)
+alert TCP $INTERNAL 4567 -> $EXTERNAL any (msg: "IDS102/trojan-active-filenail"; flags: SA;)
+alert TCP $INTERNAL 50766 -> $EXTERNAL any (msg: "IDS101/trojan-active-fore-schwindler"; flags: SA;)
+alert TCP $INTERNAL 1492 -> $EXTERNAL any (msg: "IDS100/trojan-active-ftp99cmp"; flags: SA;)
+alert TCP $INTERNAL 6969 -> $EXTERNAL any (msg: "IDS99/trojan-active-gatecrasher"; flags: SA;)
+alert TCP $INTERNAL 21554 -> $EXTERNAL any (msg: "IDS98/trojan-active-girlfriend"; flags: SA;)
+alert TCP $INTERNAL 12076 -> $EXTERNAL any (msg: "IDS97/trojan-active-gjamer"; flags: SA;)
+alert TCP $INTERNAL 12223 -> $EXTERNAL any (msg: "IDS96/trojan-active-hack99keylogger"; flags: SA;)
+alert TCP $INTERNAL 31787 -> $EXTERNAL any (msg: "IDS95/trojan-active-hackatak"; flags: SA;)
+alert TCP $INTERNAL 456 -> $EXTERNAL any (msg: "IDS94/trojan-active-hackersparadise"; flags: SA;)
+alert TCP $INTERNAL 2283 -> $EXTERNAL any (msg: "IDS93/trojan-active-hvlrat5"; flags: SA;)
+alert TCP $INTERNAL 4950 -> $EXTERNAL any (msg: "IDS92/trojan-active-icq"; flags: SA;)
+alert TCP $INTERNAL 5521 -> $EXTERNAL any (msg: "IDS91/trojan-active-illusionmailer"; flags: SA;)
+alert TCP $INTERNAL 9400 -> $EXTERNAL any (msg: "IDS90/trojan-active-incommand"; flags: SA;)
+alert TCP $INTERNAL 6939 -> $EXTERNAL any (msg: "IDS89/trojan-active-indoctrination"; flags: SA;)
+alert TCP $INTERNAL 9889 -> $EXTERNAL any (msg: "IDS88/trojan-active-inikiller"; flags: SA;)
+alert TCP $INTERNAL 2140 -> $EXTERNAL any (msg: "IDS87/trojan-active-invasor"; flags: SA;)
+alert TCP $INTERNAL 30999 -> $EXTERNAL any (msg: "IDS86/trojan-active-kuang"; flags: SA;)
+alert TCP $INTERNAL 17300 -> $EXTERNAL any (msg: "IDS85/trojan-active-kuang2"; flags: SA;)
+alert TCP $INTERNAL 31 -> $EXTERNAL any (msg: "IDS84/trojan-active-masterparadise"; flags: SA;)
+alert TCP $INTERNAL 1269 -> $EXTERNAL any (msg: "IDS83/trojan-active-matrix"; flags: SA;)
+alert TCP $INTERNAL 20000 -> $EXTERNAL any (msg: "IDS82/trojan-active-millenium"; flags: SA;)
+alert TCP $INTERNAL 12346 -> $EXTERNAL any (msg: "IDS81/trojan-active-netbus10"; flags: SA;)
+alert TCP $INTERNAL 20034 -> $EXTERNAL any (msg: "IDS80/trojan-active-netbuspro"; flags: SA;)
+alert TCP $INTERNAL 5031 -> $EXTERNAL any (msg: "IDS79/trojan-active-netmetro"; flags: SA;)
+alert TCP $INTERNAL 7306 -> $EXTERNAL any (msg: "IDS78/trojan-active-netmonitor"; flags: SA;)
+alert TCP $INTERNAL 57341 -> $EXTERNAL any (msg: "IDS77/trojan-active-netraider"; flags: SA;)
+alert TCP $INTERNAL 30100 -> $EXTERNAL any (msg: "IDS76/trojan-active-netsphere"; flags: SA;)
+alert TCP $INTERNAL 1033 -> $EXTERNAL any (msg: "IDS75/trojan-active-netspy"; flags: SA;)
+alert TCP $INTERNAL 31339 -> $EXTERNAL any (msg: "IDS74/trojan-active-netspydk"; flags: SA;)
+alert TCP $INTERNAL 5011 -> $EXTERNAL any (msg: "IDS73/trojan-active-ootlt"; flags: SA;)
+alert TCP $INTERNAL 2023 -> $EXTERNAL any (msg: "IDS72/trojan-active-passripper"; flags: SA;)
+alert TCP $INTERNAL 2801 -> $EXTERNAL any (msg: "IDS71/trojan-active-phineas"; flags: SA;)
+alert TCP $INTERNAL 9872 -> $EXTERNAL any (msg: "IDS70/trojan-active-portalofdoom"; flags: SA;)
+alert TCP $INTERNAL 16969 -> $EXTERNAL any (msg: "IDS69/trojan-active-priority"; flags: SA;)
+alert TCP $INTERNAL 11223 -> $EXTERNAL any (msg: "IDS68/trojan-active-progenic"; flags: SA;)
+alert TCP $INTERNAL 22222 -> $EXTERNAL any (msg: "IDS67/trojan-active-prosiak"; flags: SA;)
+alert TCP $INTERNAL 1509 -> $EXTERNAL any (msg: "IDS66/trojan-active-psyberstream"; flags: SA;)
+alert TCP $INTERNAL 53001 -> $EXTERNAL any (msg: "IDS65/trojan-active-remoteshutdown"; flags: SA;)
+alert TCP $INTERNAL 5569 -> $EXTERNAL any (msg: "IDS64/trojan-active-robohack"; flags: SA;)
+alert TCP $INTERNAL 54321 -> $EXTERNAL any (msg: "IDS63/trojan-active-schoolbus"; flags: SA;)
+alert TCP $INTERNAL 31554 -> $EXTERNAL any (msg: "IDS62/trojan-active-schwindler"; flags: SA;)
+alert TCP $INTERNAL 11000 -> $EXTERNAL any (msg: "IDS61/trojan-active-sennaspy"; flags: SA;)
+alert TCP $INTERNAL 1600 -> $EXTERNAL any (msg: "IDS60/trojan-active-shiveburka"; flags: SA;)
+alert TCP $INTERNAL 1981 -> $EXTERNAL any (msg: "IDS59/trojan-active-shockrave"; flags: SA;)
+alert TCP $INTERNAL 1001 -> $EXTERNAL any (msg: "IDS58/trojan-active-silencer-webex-doly"; flags: SA;)
+alert TCP $INTERNAL 30303 -> $EXTERNAL any (msg: "IDS57/trojan-active-socket23"; flags: SA;)
+alert TCP $INTERNAL 1207 -> $EXTERNAL any (msg: "IDS56/trojan-active-softwar"; flags: SA;)
+alert TCP $INTERNAL 33911 -> $EXTERNAL any (msg: "IDS55/trojan-active-spirit2001"; flags: SA;)
+alert TCP $INTERNAL 1807 -> $EXTERNAL any (msg: "IDS54/trojan-active-spysender"; flags: SA;)
+alert TCP $INTERNAL 555 -> $EXTERNAL any (msg: "IDS53/trojan-active-stealthspy-phase0-netadmin"; flags: SA;)
+alert TCP $INTERNAL 1170 -> $EXTERNAL any (msg: "IDS52/trojan-active-streamingaudio"; flags: SA;)
+alert TCP $INTERNAL 2565 -> $EXTERNAL any (msg: "IDS51/trojan-active-striker"; flags: SA;)
+alert TCP $INTERNAL 1243 -> $EXTERNAL any (msg: "IDS50/trojan-active-subseven"; flags: SA;)
+alert TCP $EXTERNAL 27374 -> $INTERNAL any (msg: "IDS279/trojan-active-subseven21"; flags: SA;)
+alert TCP $INTERNAL 61466 -> $EXTERNAL any (msg: "IDS49/trojan-active-telecommando"; flags: SA;)
+alert TCP $INTERNAL 9999 -> $EXTERNAL any (msg: "IDS48/trojan-active-theprayer1"; flags: SA;)
+alert TCP $INTERNAL 2716 -> $EXTERNAL any (msg: "IDS47/trojan-active-theprayer2"; flags: SA;)
+alert TCP $INTERNAL 40412 -> $EXTERNAL any (msg: "IDS46/trojan-active-thespy"; flags: SA;)
+alert TCP $INTERNAL 6400 -> $EXTERNAL any (msg: "IDS45/trojan-active-thething"; flags: SA;)
+alert TCP $INTERNAL 29891 -> $EXTERNAL any (msg: "IDS44/trojan-active-theunexplained"; flags: SA;)
+alert TCP $INTERNAL 34324 -> $EXTERNAL any (msg: "IDS43/trojan-active-tinytelnet"; flags: SA;)
+alert TCP $INTERNAL 3791 -> $EXTERNAL any (msg: "IDS42/trojan-active-totaleclipse"; flags: SA;)
+alert TCP $INTERNAL 1999 -> $EXTERNAL any (msg: "IDS41/trojan-active-transcout"; flags: SA;)
+alert TCP $INTERNAL 2001 -> $EXTERNAL any (msg: "IDS40/trojan-active-trojancow"; flags: SA;)
+alert TCP $INTERNAL 6669 -> $EXTERNAL any (msg: "IDS39/trojan-active-vampire"; flags: SA;)
+alert TCP $INTERNAL 1245 -> $EXTERNAL any (msg: "IDS38/trojan-active-vodoo"; flags: SA;)
+alert TCP $INTERNAL 23456 -> $EXTERNAL any (msg: "IDS37/trojan-active-whackjob"; flags: SA;)
+alert TCP $INTERNAL 5742 -> $EXTERNAL any (msg: "IDS36/trojan-active-wincrash"; flags: SA;)
+alert TCP $INTERNAL 2583 -> $EXTERNAL any (msg: "IDS35/trojan-active-wincrash2"; flags: SA;)
+alert TCP $INTERNAL 5550 -> $EXTERNAL any (msg: "IDS34/trojan-active-xtcp2"; flags: SA;)
+alert TCP $INTERNAL 37651 -> $EXTERNAL any (msg: "IDS33/trojan-active-yetanother"; flags: SA;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS225/web-cgi-anyform"; content: "anyform"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS265/web-cgi-cgitest"; content: "cgitest.exe|0d0a|user"; nocase; flags: AP; offset: 4;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS221/web-cgi-finger"; content: "finger"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS226/web-cgi-formmail"; content: "formmail"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS258/web-cgi-get32.exe"; content: "get32.exe"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS228/web-cgi-guestbook"; content: "guestbook"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS235/web-cgi-handler"; content: "handler"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS224/web-cgi-nph-test-cgi"; content: "nph-test-cgi"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS219/web-cgi-perl-exe"; content: "perl.exe"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS128/web-cgi-phf"; content: "phf"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS232/web-cgi-php-slash"; content: "php.cgi?/"; flags: AP; offset: 5; depth: 32;)
+alert TCP $INTERNAL 80 -> $EXTERNAL any (msg: "IDS233/web-cgi-php-version"; content: "PHP/FI Version 2.0b"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS243/web-cgi-pipe"; content: "|7C|"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS227/web-cgi-scriptalias"; content: "///"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS220/web-cgi-snork"; content: "snork.bat"; flags: AP;)
+alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS230/web-cgi-space-wildcard"; content: "|2A 20|"; flags: AP;)
This page took 0.107376 seconds and 4 git commands to generate.