home *** CD-ROM | disk | FTP | other *** search
/ PC Plus SuperCD (UK) 1999 October / pcp156a.iso / linux / snort / misc-lib < prev    next >
Encoding:
Text File  |  1999-08-04  |  1.6 KB  |  31 lines
  1. # "other" stuff goes in here
  2.  
  3. # Happy 99 Virus checking from Scott McIntyre
  4. alert tcp any any -> 192.168.1.0/24 25 (msg:"Happy 99 Virus"; content:"X-Spanska: Yes"; flags: PA;)
  5.  
  6. # SNMP attempts from Ron Gula
  7. alert udp any any -> 192.168.1.0/24 161 (msg:"SNMP NT User List"; content:"|2b06 0104 014d 0102 19|";)
  8.  
  9. # netbios probes from Ron Gula
  10. alert udp any any -> 192.168.1.0/24 137 (msg:"SMB Name Wildcard"; content:"CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|0000|";)
  11. alert tcp any any -> 192.168.1.0/24 139 (msg:"Samba client access"; content:"|00|Unix|00|Samba";)
  12. alert tcp any any -> 192.168.1.0/24 139 (msg:"SMB CD..."; content:"\...|00 00 00|";)
  13. alert tcp any any -> 192.168.1.0/24 139 (msg:"SMB CD.."; content:"\..|2f 00 00 00|";)
  14. alert tcp any any -> 192.168.1.0/24 139 (msg:"SMB C$ access"; content:"\C$|00 41 3a 00|";)
  15. alert tcp any any -> 192.168.1.0/24 139 (msg:"SMB D$ access"; content:"\D$|00 41 3a 00|";)
  16. alert tcp any any -> 192.168.1.0/24 139 (msg:"SMB ADMIN$ access"; content:"\ADMIN$|00 41 3a 00|";)
  17.  
  18. # alert on stuff going where it probably shouldn't be
  19. # note that the port range specification is inclusive, so we're keying on ports 0-1023
  20. alert tcp any 53 -> 192.168.1.0/24 :1023 (msg:"Source Port traffic";)
  21. alert udp any 53 -> 192.168.1.0/24 :1023 (msg:"Source Port traffic";)
  22. alert tcp any 25 -> 192.168.1.0/24 :1023 (msg:"Source Port traffic";)
  23.  
  24. alert tcp any any -> 192.168.1.0/24 32771 (msg: "Attempted Sun RPC high port access";)
  25. alert udp any any -> 192.168.1.0/24 32771 (msg: "Attempted Sun RPC high port access";)
  26.  
  27. alert udp any any -> 192.168.1.0/24 161 (msg: "SNMP access, public"; content:"public";)
  28.  
  29.  
  30.  
  31.