<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'><div>I would imagine that the pcre may be not required or even not right. Not much data to work with. Any second look at this can help.</div><div><br></div>alert tcp $EXTERNAL_NET any -> $HOME_NET $SSH_PORTS (msg:"MALWARE-BACKDOOR Linux.Trojan.Fokirtor inbound command attempt"; flow:to_server,established; content:"|3A 21 3B 2E|"; fast_pattern:only; pcre:"/\x3a\x21\x3b\x2e[A-Z0-9]{10,}/"; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community, service ssh; reference:url,www.symantec.com/connect/blogs/linux-back-door-uses-covert-communication-protocol; classtype:trojan-activity; sid:100112;)<div><br></div><div>Thanks.</div><div>YM</div>                                           </div></body>
</html>