<div dir="ltr">Hello,<br><br>What should we use as rules ? snort rules, ET rules, others ? or both ?<br><br>are they the same ? "repeated" ?<br><br>How Can i uninstall Suricata ? (to try 0.9.2 v)<br><br><br>Regards :).<br>
<br><div class="gmail_quote">2010/6/17 Will Metcalf <span dir="ltr"><<a href="mailto:william.metcalf@gmail.com" target="_blank">william.metcalf@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">


Those rules are not loaded. We are still working on adding support for<br>
some keywords.  In all honestly we will probably never have 100%<br>
support all snort content/modifier combinations but we trying to get<br>
as close to this as we can.<br>
<br>
Regards,<br>
<font color="#888888"><br>
Will<br>
</font><div><div></div><div><br>
On Wed, Jun 16, 2010 at 8:52 AM, Anas.B <<a href="mailto:a.bouhsaina@gmail.com" target="_blank">a.bouhsaina@gmail.com</a>> wrote:<br>
> Hello,<br>
><br>
> I've addedd the 2.8.5.3 rules<br>
> But still these errors !!!<br>
><br>
> [6521] 16/6/2010 -- 14:52:10 - (detect-bytetest.c:538) <Error><br>
> (DetectBytetestSetup) -- [ERRCODE: SC_ERR_BYTETEST_MISSING_CONTENT(104)] -<br>
> relative bytetest match needs a previous content option<br>
> [6521] 16/6/2010 -- 14:52:10 - (detect.c:297) <Error> (DetectLoadSigFile) --<br>
> [ERRCODE: SC_ERR_INVALID_SIGNATURE(37)] - Error parsing signature "alert tcp<br>
> $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC client<br>
> negative Content-Length attempt"; flow:to_server,established;<br>
> content:"Content-Length|3A|"; nocase; http_header;<br>
> byte_test:4,>,0x7FFFFFFF,0,relative,string,dec; metadata:policy balanced-ips<br>
> drop, policy security-ips drop, service http; reference:bugtraq,17879;<br>
> reference:bugtraq,9098; reference:bugtraq,9476; reference:bugtraq,9576;<br>
> reference:cve,2004-0095; reference:cve,2006-2162; classtype:misc-attack;<br>
> sid:2278; rev:15;)" from file /etc/suricata/rules/web-misc.rules at line 366<br>
> [6521] 16/6/2010 -- 14:52:10 - (detect-http-method.c:180) <Error><br>
> (DetectHttpMethodSetup) -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(37)] -<br>
> http_method cannot be used with "fast_pattern"<br>
> [6521] 16/6/2010 -- 14:52:10 - (detect.c:297) <Error> (DetectLoadSigFile) --<br>
> [ERRCODE: SC_ERR_INVALID_SIGNATURE(37)] - Error parsing signature "alert tcp<br>
> $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-MISC Sun Java System<br>
> Web Server 7.0 WebDAV format string exploit attempt - LOCK method";<br>
> flow:to_server,established; content:"LOCK"; fast_pattern; nocase;<br>
> http_method; content:"encoding";<br>
> pcre:"/\<\?xml[^\>]+encoding\s*\=\s*(\'|\")[^\'\"\>\%]*\%/"; metadata:policy<br>
> balanced-ips drop, policy security-ips drop, service http;<br>
> reference:bugtraq,37910; reference:cve,2010-0388; classtype:attempted-user;<br>
> sid:16427; rev:1;)" from file /etc/suricata/rules/web-misc.rules at line 555<br>
> [6521] 16/6/2010 -- 14:52:12 - (detect.c:341) <Error> (SigLoadSignatures) --<br>
> [ERRCODE: SC_ERR_NO_RULES(40)] - No rules loaded from<br>
> /etc/suricata/rules/emerging-web.rules<br>
> [6521] 16/6/2010 -- 14:52:19 - (detect.c:382) <Info> (SigLoadSignatures) --<br>
> 71 rule files processed. 11678 rules succesfully loaded, 482 rules failed<br>
><br>
> The rules are loaded or not ?<br>
><br>
> Thanks to you<br>
><br>
</div></div><div><div></div><div>> _______________________________________________<br>
> Oisf-users mailing list<br>
> <a href="mailto:Oisf-users@openinfosecfoundation.org" target="_blank">Oisf-users@openinfosecfoundation.org</a><br>
> <a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
><br>
><br>
</div></div></blockquote></div><br></div>