<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Feb 23, 2019 at 2:20 AM Travis Green <<a href="mailto:travis@travisgreen.net">travis@travisgreen.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">Kaushal, many people test by simply sending an HTTP GET request to <a href="http://testmyids.com" target="_blank">testmyids.com</a> thusly:<br><div><br></div><div>$ curl <a href="http://testmyids.com" target="_blank">testmyids.com</a></div><div><br></div><div>which fires these events for me:<br><div>GPL ATTACK_RESPONSE id check returned root</div><div>ET ATTACK_RESPONSE Output of id command from HTTP server</div></div><div><br></div><div>-T</div></div></div></blockquote><div><br></div><div>Hi Travis,</div><div><br></div><div>I am not sure if i understand it completely. So on Suricata server, when i run curl <a href="http://testmyids.com">testmyids.com</a></div><div><br></div><div><div># curl <a href="http://testmyids.com">testmyids.com</a></div><div>uid=0(root) gid=0(root) groups=0(root)</div><div>#</div></div><div><br></div><div>Please correct me if i am missing something.</div><div><br></div><div>Best Regards,</div><div><br></div><div>Kaushal</div><div><br></div><div>Best Regards,</div><div><br></div><div>Kaushal</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
</blockquote></div></div></div></div>