<br><br><div class="gmail_quote">On Wed, Nov 9, 2011 at 9:30 PM, carlopmart <span dir="ltr"><<a href="mailto:carlopmart@gmail.com">carlopmart@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">On 11/09/2011 08:09 PM, Victor Julien wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
On 11/09/2011 06:58 PM, carlopmart wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
On 11/09/2011 06:44 PM, Peter Manev wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Do you mind sharing the pcap?<br>
</blockquote>
<br>
No, here it is:<br>
<br>
</blockquote>
<br>
It works for me both with the pcap file and by going to that site. Are<br>
you sure the rule is properly loaded?<br>
<br>
</blockquote>
<br></div>
I think so. My suricata.yaml ... and rules directory:<br>
<br>
root@eorlingas:~# ls -la /data/config/etc/suricata/<u></u>rules/<br>
total 6988<br>
drwxr-xr-x 2 root root    4096 2011-11-09 17:21 .<br>
drwxr-xr-x 3 root root    4096 2011-11-09 17:59 ..<br>
-rw-r--r-- 1 root root  122503 2011-11-09 17:00 botcc.rules<br>
-rw-r--r-- 1 root root    6370 2011-11-09 17:00 ciarmy.rules<br>
-rw-r--r-- 1 root root  491257 2011-11-09 17:00 compromised.rules<br>
-rw-r--r-- 1 root root   12790 2011-11-09 17:00 drop.rules<br>
-rw-r--r-- 1 root root    2508 2011-11-09 17:00 dshield.rules<br>
-rw-r--r-- 1 root root  235300 2011-11-09 17:00 emerging-activex.rules<br>
-rw-r--r-- 1 root root   37067 2011-11-09 17:00 emerging-attack_response.rules<br>
-rw-r--r-- 1 root root   32238 2011-11-09 17:00 emerging-chat.rules<br>
-rw-r--r-- 1 root root  147196 2011-11-09 17:00 emerging-current_events.rules<br>
-rw-r--r-- 1 root root  261943 2011-11-09 17:00 emerging-deleted.rules<br>
-rw-r--r-- 1 root root   19160 2011-11-09 17:00 emerging-dns.rules<br>
-rw-r--r-- 1 root root   17882 2011-11-09 17:00 emerging-dos.rules<br>
-rw-r--r-- 1 root root  122459 2011-11-09 17:00 emerging-exploit.rules<br>
-rw-r--r-- 1 root root   37721 2011-11-09 17:00 emerging-ftp.rules<br>
-rw-r--r-- 1 root root   28306 2011-11-09 17:00 emerging-games.rules<br>
-rw-r--r-- 1 root root   14436 2011-11-09 17:00 emerging-icmp_info.rules<br>
-rw-r--r-- 1 root root    8657 2011-11-09 17:00 emerging-icmp.rules<br>
-rw-r--r-- 1 root root   14507 2011-11-09 17:00 emerging-imap.rules<br>
-rw-r--r-- 1 root root    9937 2011-11-09 17:00 emerging-inappropriate.rules<br>
-rw-r--r-- 1 root root  279296 2011-11-09 17:00 emerging-malware.rules<br>
-rw-r--r-- 1 root root   19759 2011-11-09 17:00 emerging-misc.rules<br>
-rw-r--r-- 1 root root   31295 2011-11-09 17:00 emerging-mobile_malware.rules<br>
-rw-r--r-- 1 root root  311949 2011-11-09 17:00 emerging-netbios.rules<br>
-rw-r--r-- 1 root root   43172 2011-11-09 17:00 emerging-p2p.rules<br>
-rw-r--r-- 1 root root  265967 2011-11-09 17:00 emerging-policy.rules<br>
-rw-r--r-- 1 root root    7769 2011-11-09 17:00 emerging-pop3.rules<br>
-rw-r--r-- 1 root root   48381 2011-11-09 17:00 emerging-rpc.rules<br>
-rw-r--r-- 1 root root    9316 2011-11-09 17:00 emerging-scada.rules<br>
-rw-r--r-- 1 root root   91967 2011-11-09 17:00 emerging-scan.rules<br>
-rw-r--r-- 1 root root   62699 2011-11-09 17:00 emerging-shellcode.rules<br>
-rw-r--r-- 1 root root    7846 2011-11-09 17:00 emerging-smtp.rules<br>
-rw-r--r-- 1 root root   10341 2011-11-09 17:00 emerging-snmp.rules<br>
-rw-r--r-- 1 root root  187606 2011-11-09 17:00 emerging-sql.rules<br>
-rw-r--r-- 1 root root    4093 2011-11-09 17:00 emerging-telnet.rules<br>
-rw-r--r-- 1 root root    5749 2011-11-09 17:00 emerging-tftp.rules<br>
-rw-r--r-- 1 root root  635106 2011-11-09 17:00 emerging-trojan.rules<br>
-rw-r--r-- 1 root root  150469 2011-11-09 17:00 emerging-user_agents.rules<br>
-rw-r--r-- 1 root root   17721 2011-11-09 17:00 emerging-virus.rules<br>
-rw-r--r-- 1 root root    8478 2011-11-09 17:00 emerging-voip.rules<br>
-rw-r--r-- 1 root root   90005 2011-11-09 17:00 emerging-web_client.rules<br>
-rw-r--r-- 1 root root  114405 2011-11-09 17:00 emerging-web_server.rules<br>
-rw-r--r-- 1 root root 2718773 2011-11-09 17:00 emerging-web_specific_apps.<u></u>rules<br>
-rw-r--r-- 1 root root   13911 2011-11-09 17:00 emerging-worm.rules<br>
-rw-r--r-- 1 root root   12601 2011-11-09 17:00 rbn-malvertisers.rules<br>
-rw-r--r-- 1 root root  265321 2011-11-09 17:00 rbn.rules<br>
-rw-r--r-- 1 root root   32413 2011-11-09 17:00 tor.rules<div><div></div><div class="h5"><br>
<br>
-- <br>
CL Martinez<br>
carlopmart {at} gmail {d0t} com<br>
</div></div><br>_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br></blockquote></div><br>it does alert with your yaml too....<br clear="all"><br>-- <br>Peter Manev<br>
<div style="visibility: hidden; left: -5000px;" id="avg_ls_inline_popup"></div>