<div dir="ltr">Hi,<br><div class="gmail_extra"><div class="gmail_quote"><span dir="ltr"></span><span class="gmail-"></span><br><span class="gmail-"></span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">
</span>Is the file extracted successfully/completely ?<br>
<span class="gmail-"><br></span></blockquote><div><br></div><div>yes the file is extracted successfully . i have downloaded the tar file using wget .suricata able to save the tar file in file-store successfully.<br></div><div>From the file-store i am able to untar the tar scan19.tar.gz.<br><br></div><div>tail -f  files-json.log :<br>---------------------------------------------<br><br><br>{ "id": 1, "timestamp": "07\/12\/2017-02:39:04.768755", "ipver": 4, "srcip": "xx.xx.xx.xx", "dstip": "xx.xx.xx.xx", "protocol": 6, "sp": 80, "dp": 36060, "http_uri": "\/scans\/scan19\/scan19.tar.gz", "http_host": "<a href="http://old.honeynet.org">old.honeynet.org</a>", "http_referer": "<unknown>", "http_user_agent": "Wget\/1.15 (linux-gnu)", "filename": "\<span style="background-color:rgb(255,255,0)">/scans\/scan19\/scan19.tar.gz</span>", "magic": "gzip compressed data, from Unix, last modified: Wed Oct  3 13:03:51 2001",<span style="background-color:rgb(255,255,0)"> "state": "TRUNCATED",</span> "stored": true, "size": 103713 }<br><br></div><div>I have extracted the tar file and got newdat3.log file which is identified as a malware .<br></div><div>I tried to transfer newdat3.log file using http .I got the below logs :<br><br><br>{ "id": 14, "timestamp": "07\/12\/2017-21:53:13.241571", "ipver": 4, "srcip": "xx.xx.xx.xx", "dstip": "xx.xx.xx.xx", "protocol": 6, "sp": 8000, "dp": 58091, "http_uri": "\/newdat3.log", "http_host": "xx.xx.xx.xx", "http_referer": "http:\/\/xx.xx.xx.xx:8000\/", "http_user_agent": "Mozilla\/5.0 (Windows NT 10.0; Win64; x64; rv:54.0) Gecko\/20100101 Firefox\/54.0", "filename": "\/newdat3.log", "magic": "tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 1514)", <span style="background-color:rgb(255,255,0)">"state": "TRUNCATED", </span>"stored": true, "size": 103313 }<br><br></div><div>In the above two cases state of the file is shown as TRUNCATED .<br></div><div>In normal case if i transfer a normal file state is different and able to see md5 checksum in logs .<br><br></div><div>logs when i transfer a  normal file with out any threat:<br>-----------------------------------------------------------------<br><br><br>{ "id": 2, "timestamp": "07\/12\/2017-02:40:49.130589", "ipver": 4, "srcip": "xx.xx.xx.xx", "dstip": "xx.xx.xx.xx", "protocol": 6, "sp": 80, "dp": 35568, "http_uri": "\/browse\/old\/abc\/snapshot\abc.zip", "http_host": "<a href="http://xyz.org">xyz.org</a>", "http_referer": "<unknown>", "http_user_agent": "Wget\/1.15 (linux-gnu)", "filename": "abc.zip", "magic": "Zip archive data, at least v1.0 to extract", <span style="background-color:rgb(255,255,0)">"state": "CLOSED", "md5": "61ccc4f24db49185f67978bde35d2b88",</span> "stored": true, "size": 31333 }<br><br></div><div>Thanks<br></div><div>srinivas<br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">
><br>
> thanks<br>
> srinivas<br>
><br>
><br>
> On Thu, Jul 13, 2017 at 12:00 AM, Cooper F. Nelson <<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a>> wrote:<br>
>><br>
>> That is a pcap file, not an extracted file.<br>
>><br>
>> -Coop<br>
>><br>
>> On 7/12/2017 11:26 AM, Srinivasreddy R wrote:<br>
>><br>
>> I am able to see some results .<br>
>> The md5 hash i am searching is  : 38e85119953076c904fd2105dfcb6c<wbr>db<br>
>><br>
>><br>
>> thanks<br>
>> srinivas<br>
>><br>
>> On Wed, Jul 12, 2017 at 11:43 PM, Cooper F. Nelson <<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a>><br>
>> wrote:<br>
>>><br>
>>> What happens if you search for the hash here?<br>
>>><br>
>>> > <a href="https://www.virustotal.com/en/#search" rel="noreferrer" target="_blank">https://www.virustotal.com/en/<wbr>#search</a><br>
>>><br>
>>> -Coop<br>
>><br>
>><br>
>> --<br>
>> Cooper Nelson<br>
>> Network Security Analyst<br>
>> UCSD ACT Security Team<br>
>> <a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
><br>
><br>
><br>
</span><span class="gmail-">> ______________________________<wbr>_________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
><br>
<br>
<br>
<br>
--<br>
</span>Regards,<br>
Peter Manev<br>
</blockquote></div><br></div></div>