1
Snort sta ricevendo traffico, ma non sembra applicare le regole
Ho snort installato e funzionante in modalità inline tramite NFQUEUE sul mio gateway locale (come posso camminare nella stanza successiva e toccarlo). Ho la seguente regola nel mio /etc/snort/rules/snort.rules: alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; …