ho provato ad usare la seguente regola, ma fallisce .. snort.conf è di default e penso che la parte di ispezione non sia corretta. Ragazzi, potete aiutarmi a risolvere il problema?
alert tcp any any -> any 21 (msg:"POLICY FTP anonymous login attempt"; content:"USER";pcre:"/^USER\s+(anonymous|ftp)/smi"; sid:553; rev:7;)