Hi Chris,<br><br>I am all for that!<br>a yaml option on/off type of thing - for saving the rules that generate an alert with filestore....<br><br><div class="gmail_quote">On Wed, Jun 20, 2012 at 1:27 PM, Chris Wakelin <span dir="ltr"><<a href="mailto:c.d.wakelin@reading.ac.uk" target="_blank">c.d.wakelin@reading.ac.uk</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I'm trying to track down the mechanism in "/1.class" which I've seen in<br>
some Blackhole exploit kit landing pages recently and I think is<br>
probably an exploit for Java 1.6.0_31.<br>
<br>
I've got a Suricata rule with "filestore" to watch for the IP addresses<br>
I've seen the exploit on.<br>
<br>
Alas, it seems to be using cookies and possibly other tricks (e.g. a<br>
recent "Scalaxy" Java exploit I saw needed HTTP no-keepalive set in<br>
order to download the payload), which aren't captured in the HTTP log or<br>
.meta files.<br>
<br>
I can't run tcpdump alongside as it's using PF_RING + DNA which can only<br>
allow one application to see the packets (todo: play with PF_RING's<br>
libzero to serve the same packets to two applications).<br>
<br>
Suricata's existing pcap logging logs everything, I think, which I doubt<br>
we could do at the rate we're receiving packets.<br>
<br>
Is it possible to get Suricata's filestore mechanism to save a pcap as<br>
well (i.e. pcap saved only when matching particular rules)?<br>
<br>
Best Wishes,<br>
Chris<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
--+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+-<br>
Christopher Wakelin,                           <a href="mailto:c.d.wakelin@reading.ac.uk">c.d.wakelin@reading.ac.uk</a><br>
IT Services Centre, The University of Reading,  Tel: <a href="tel:%2B44%20%280%29118%20378%202908" value="+441183782908">+44 (0)118 378 2908</a><br>
Whiteknights, Reading, RG6 6AF, UK              Fax: <a href="tel:%2B44%20%280%29118%20975%203094" value="+441189753094">+44 (0)118 975 3094</a><br>
_______________________________________________<br>
Oisf-devel mailing list<br>
<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
</font></span></blockquote></div><br><br clear="all"><br>-- <br><div>Regards,</div>
<div>Peter Manev</div><br>