<div dir="ltr">I have a pcap I am trying to get a signature to fire off of. Here is the sig:<div><br></div><div>alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"packer"; content:"menu|2e|js"; http_uri; file_data; content:"eval(function(p,a,c,k,e,d)"; fast_pattern:only; sid:1; rev:7;)</div><div><br></div><div>I can't provide a pcap, but this is a standard dean edwards packer menu javascript.</div><div><br></div><div>The problem I have is:</div><div><br></div><div>the http_uri hit comes from local to remote (this is a get request).</div><div>the file_data hit comes remote to local</div><div><br></div><div>Is there any way to get one rule to fire off this? Maybe with flowbits?</div></div>