Regra do Snort: Acesso de registro ao site que contém a palavra "malware"
-
19-09-2019 - |
Pergunta
Estou tentando criar uma regra para o Snort registrar basicamente qualquer pacotes depois que um usuário tenta acessar uma página com a palavra "malware". É isso que tenho, apenas pedindo algum guia. Então, basicamente, uma vez que uma página da Web contém a frase, ela mostra um alerta.
alert tcp any any -> any any
(content:"malware";
msg:"Someone clone is accessing a page with malware tagged!!!!";
aid:10000002;rev:1;)
Solução
alerta o tcp qualquer qualquer -> qualquer um (conteúdo: "malware"; msg: "Alguém clone está acessando uma página com malware marcado !!!!"; ajuda: 10000002; rev: 1;)
Realmente funcionou e o problema foi resolvido
Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow