
<div dir="ltr">Hello,<br><br>What should we use as rules ? snort rules, ET rules, others ? or both ?<br><br>are they the same ? "repeated" ?<br><br>How Can i uninstall Suricata ? (to try 0.9.2 v)<br><br><br>Regards :).<br>

<br><div class="gmail_quote">2010/6/17 Will Metcalf <span dir="ltr"><<a href="mailto:william.metcalf@gmail.com" target="_blank">william.metcalf@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">


Those rules are not loaded. We are still working on adding support for<br>

some keywords.  In all honestly we will probably never have 100%<br>

support all snort content/modifier combinations but we trying to get<br>

as close to this as we can.<br>

<br>

Regards,<br>

<font color="#888888"><br>

Will<br>

</font><div><div></div><div><br>

On Wed, Jun 16, 2010 at 8:52 AM, Anas.B <<a href="mailto:a.bouhsaina@gmail.com" target="_blank">a.bouhsaina@gmail.com</a>> wrote:<br>

> Hello,<br>

><br>

> I've addedd the 2.8.5.3 rules<br>

> But still these errors !!!<br>

><br>

> [6521] 16/6/2010 -- 14:52:10 - (detect-bytetest.c:538) <Error><br>

> (DetectBytetestSetup) -- [ERRCODE: SC_ERR_BYTETEST_MISSING_CONTENT(104)] -<br>

> relative bytetest match needs a previous content option<br>

> [6521] 16/6/2010 -- 14:52:10 - (detect.c:297) <Error> (DetectLoadSigFile) --<br>

> [ERRCODE: SC_ERR_INVALID_SIGNATURE(37)] - Error parsing signature "alert tcp<br>

> $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC client<br>

> negative Content-Length attempt"; flow:to_server,established;<br>

> content:"Content-Length|3A|"; nocase; http_header;<br>

> byte_test:4,>,0x7FFFFFFF,0,relative,string,dec; metadata:policy balanced-ips<br>

> drop, policy security-ips drop, service http; reference:bugtraq,17879;<br>

> reference:bugtraq,9098; reference:bugtraq,9476; reference:bugtraq,9576;<br>

> reference:cve,2004-0095; reference:cve,2006-2162; classtype:misc-attack;<br>

> sid:2278; rev:15;)" from file /etc/suricata/rules/web-misc.rules at line 366<br>

> [6521] 16/6/2010 -- 14:52:10 - (detect-http-method.c:180) <Error><br>

> (DetectHttpMethodSetup) -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(37)] -<br>

> http_method cannot be used with "fast_pattern"<br>

> [6521] 16/6/2010 -- 14:52:10 - (detect.c:297) <Error> (DetectLoadSigFile) --<br>

> [ERRCODE: SC_ERR_INVALID_SIGNATURE(37)] - Error parsing signature "alert tcp<br>

> $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-MISC Sun Java System<br>

> Web Server 7.0 WebDAV format string exploit attempt - LOCK method";<br>

> flow:to_server,established; content:"LOCK"; fast_pattern; nocase;<br>

> http_method; content:"encoding";<br>

> pcre:"/\<\?xml[^\>]+encoding\s*\=\s*(\'|\")[^\'\"\>\%]*\%/"; metadata:policy<br>

> balanced-ips drop, policy security-ips drop, service http;<br>

> reference:bugtraq,37910; reference:cve,2010-0388; classtype:attempted-user;<br>

> sid:16427; rev:1;)" from file /etc/suricata/rules/web-misc.rules at line 555<br>

> [6521] 16/6/2010 -- 14:52:12 - (detect.c:341) <Error> (SigLoadSignatures) --<br>

> [ERRCODE: SC_ERR_NO_RULES(40)] - No rules loaded from<br>

> /etc/suricata/rules/emerging-web.rules<br>

> [6521] 16/6/2010 -- 14:52:19 - (detect.c:382) <Info> (SigLoadSignatures) --<br>

> 71 rule files processed. 11678 rules succesfully loaded, 482 rules failed<br>

><br>

> The rules are loaded or not ?<br>

><br>

> Thanks to you<br>

><br>

</div></div><div><div></div><div>> _______________________________________________<br>

> Oisf-users mailing list<br>

> <a href="mailto:Oisf-users@openinfosecfoundation.org" target="_blank">Oisf-users@openinfosecfoundation.org</a><br>

> <a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

><br>

><br>

</div></div></blockquote></div><br></div>