resoplido regla: el registro de acceso al sitio que contiene la palabra “malware”
-
19-09-2019 - |
Pregunta
Estoy tratando de crear una regla para resoplido que entrar básicamente cualquier paquete una vez que un usuario intenta acceder a una página con la palabra "malware" en ella. Esto es lo que tengo, simplemente preguntando por alguna guía. Así que, básicamente, una vez que una página web contiene la frase que muestra una alerta.
alert tcp any any -> any any
(content:"malware";
msg:"Someone clone is accessing a page with malware tagged!!!!";
aid:10000002;rev:1;)
Solución
tcp alerta a cualquier -> cualquier ninguna (contenido: "malware"; msg: "clon Alguien está accediendo a una página con malware etiquetado !!!!"; ayuda: 10000002; rev: 1;)
En realidad funcionaba y el problema se resolvió
Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow