1
Snort menerima lalu lintas, tetapi tampaknya tidak menerapkan aturan
Saya telah mendengus menginstal dan menjalankan dalam mode inline melalui NFQUEUE pada gateway lokal saya (seperti saya dapat berjalan di kamar sebelah dan menyentuhnya). Saya memiliki aturan berikut di /etc/snort/rules/snort.rules: alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; …