<div dir="ltr"><div><div><div><div>Your rule should be:<br><br>alert tcp $HOME_NET any -> any [25,587,465] (msg:"*** WARNING!!! 
WARNING!!! SUSPECT SPAMMER!!! ***"; dsize:>0; content:"sexiest"; 
sid:<a href="tel:%28667%29%20766-6667" value="+16677666667" target="_blank">6677666667</a>; rev:1;)<br><br></div>Rule format is:<br><br></div>action proto source_ip source_port -> dest_ip dest_port (options).<br><br></div>You have swapped the dest_ip and dest_port around.<br><br></div>David Sussens.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 14, 2017 at 1:40 AM, Mesra.net CEO <span dir="ltr"><<a href="mailto:admin@mesra.my" target="_blank">admin@mesra.my</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">
<div dir="ltr">
<div style="FONT-SIZE:10pt;FONT-FAMILY:'Arial';COLOR:#000000">
<div style="FONT-SIZE:small;TEXT-DECORATION:none;FONT-FAMILY:"Calibri";FONT-WEIGHT:normal;COLOR:#000000;FONT-STYLE:normal;DISPLAY:inline">
<div dir="ltr">
<div style="FONT-SIZE:10pt;FONT-FAMILY:'Arial';COLOR:#000000">
<div>Dear All,</div>
<div> </div>
<div>I have problem on Suricata as below:</div>
<div> </div>
<div>14/7/2017 -- 07:32:44 - <Error> - [ERRCODE: 
SC_ERR_ADDRESS_ENGINE_GENERIC(<wbr>89)] - failed to parse address "25"</div>
<div>14/7/2017 -- 07:32:44 - <Error> - [ERRCODE: 
SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert tcp $HOME_NET any 
-> [25,587,465] any (msg:"*** WARNING!!! WARNING!!! SUSPECT SPAMMER!!! ***"; 
dsize:>0; content:"sexiest"; sid:6677666667; rev:1;)" from file 
/etc/suricata/rules/custom.<wbr>rules at line 46</div>
<div><font style="BACKGROUND-COLOR:#f5f5f5" face="Tahoma"></font> </div>
<div><font style="BACKGROUND-COLOR:#f5f5f5" face="Tahoma">Is thres any problem 
with my rule:</font></div>
<div><font style="BACKGROUND-COLOR:#f5f5f5" face="Tahoma"></font> </div>
<div>alert tcp $HOME_NET any -> [25,587,465] any (msg:"*** WARNING!!! 
WARNING!!! SUSPECT SPAMMER!!! ***"; dsize:>0; content:"sexiest"; 
sid:<a href="tel:(667)%20766-6667" value="+16677666667" target="_blank">6677666667</a>; rev:1;)" from file /etc/suricata/rules/custom.<wbr>rules at line 
46</div>
<div><font style="BACKGROUND-COLOR:#f5f5f5" face="Tahoma"></font> </div>
<div>Please advice. TQ so much</div>
<div> </div>
<div> </div></div></div></div></div></div></div>
<br>______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
<br></blockquote></div><br></div>