Intenté usar la siguiente regla, pero falla ... snort.conf es predeterminado y creo que la parte de inspección no es correcta. ¿Pueden ustedes ayudarme a resolver el problema?
alertar tcp cualquiera cualquiera - > cualquier 21 (msg: "POLÍTICA FTP intento de inicio de sesión anónimo"; contenido: "USER"; pcre: "/ ^ USER \ s + (anonymous | ftp) / smi"; sid: 553; rev: 7;)