Is this the one ?<div><br></div><div>  <a href="http://blog.snort.org/2012/01/portvar-lookup-failed-on-filedataports.html">http://blog.snort.org/2012/01/portvar-lookup-failed-on-filedataports.html</a><br><div><br><div class="gmail_quote">
On 30 March 2012 05:20, waldo kitty <span dir="ltr"><<a href="mailto:wkitty42@...3507...">wkitty42@...3507...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On 3/5/2012 10:48, Joel Esler wrote:<br>
> Nathan, I changed our rule to this:<br>
><br>
> alert tcp $EXTERNAL_NET $FILE_DATA_PORTS ->  $HOME_NET any (msg:"SPECIFIC-THREATS hostile PDF associated with Laik exploit kit"; flow:to_client,established; flowbits:isset,file.pdf; file_data; content:"%PDF-1.6|0D 0A|"; content:") /CreationDate (D:20110405234628)>>"; fast_pattern:only; metadata:policy balanced-ips drop, policy security-ips drop, service http; classtype:trojan-activity; sid:21417; rev:3;)<br>

><br>
> It fires perfectly.  Thanks for the update.<br>
</div>hey joel, wasn't there a blog announcement about FILE_DATA_PORTS? i've numerous<br>
folk contacting me about IDS failures concerning this change and i'm unable to<br>
find where to point them for the changes they need to make :(<br>
<br>
<br>
------------------------------------------------------------------------------<br>
This SF email is sponsosred by:<br>
Try Windows Azure free for 90 days Click Here<br>
<a href="http://p.sf.net/sfu/sfd2d-msazure" target="_blank">http://p.sf.net/sfu/sfd2d-msazure</a><br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Dave Venman<br><br><br><br><br>
</div></div>