OPNsense Forum
International Forums => German - Deutsch => Topic started by: Gandalf2434 on December 11, 2023, 05:16:39 pm
-
Hallo zusammen,
ich habe bei mit Suricata laufen und erhalte durch einen Windowsrechner dauernd "ET SHELLCODE Common 0a0a0a0a Heap Spray String"-Meldungen. Da ich mir die Meldungen per Mail senden lasse und die alle paar Minuten kommen ist das sehr nervig.
Wie mal liest handelt es sich dabei wohl um eine Regel die zu False Positives neigt und anscheinend gerade mit Windows-Updates gerne mal fälschlicherweise anschlägt. Da es auch kein konkretes Angriffspattern ist, sondern eben Heap Spraying würde ich die Regel gerne deaktivieren.
So habe ich die Regel nun unter "Rules" deaktiviert und auch Suricata neu gestartet. Leider bekomme ich dennoch, sobald der Windows-Rechner läuft, die Meldungen vom System.
Kann mir jemand einen Stoß geben, was ich hier so grundlegend falsch mache? Ich hatte ich in der Vergangenheit schon andere Meldungen deaktiviert (z.B. .cc-Domains, da ich gerne dict.cc nutze), was da immer funktionierte.
Vielen Dank