Essaie ca: alert tcp $HOME_NET any -> any 5222 (msg:"Executable send via Jabber!"; flow:to_server,established; uricontent:".exe")
Xavier -- / is the root of all UNIX. On Thu, 14 Apr 2005 [EMAIL PROTECTED] wrote: > Hello, > > Je suis assez nouveau dans snort et dans ces trucs la. On m'a demande de > creer une regle pour etre notifie si un utilisateur de jabber essaie > d'envoyer un fichier executable de windows en "DC SEND" J'ai besoin d'un peu > d'aide la dessus. Pour essayer d'en savoir plus, j'ai lance une application > jabber cliente avec plusieurs tentatives d'expedier un setup.exe a quelqu'un. > J'ai mis ces traces tcpdump sur le site http://cjoint.com/?eomYVQuGVw > > Je crois qu'il y a moyen de faire quelque chose avec cette ligne: > > Request: <iq id='at4185' to='[EMAIL PROTECTED]' type='set'><query > xmlns='jabber:iq:oob'><url>http://195.238.134.83:8088/1113474796/setup.exe</url></query></iq> > > Quelqu'un peut il m'aider? Me dire ou trouver une info la dessus qui soit > comprehensible? > > Un tres tres tres tres grand merci, > > JD > > ------------------------------------------------------------- > NetCourrier, votre bureau virtuel sur Internet : Mail, Agenda, Clubs, > Toolbar... > Web/Wap : www.netcourrier.com > Téléphone/Fax : 08 92 69 00 21 (0,34 € TTC/min) > Minitel: 3615 NETCOURRIER (0,16 € TTC/min) > > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/linux@lists.unixtech.be > IRC: chat.unixtech.be:6667 - #unixtech > NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech >
_______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/linux@lists.unixtech.be IRC: chat.unixtech.be:6667 - #unixtech NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech
