German Forum Intrusion Prevention-Warnung 93.184.221.240

UTM Firewall requires membership for participation - click to join

Thread Info

State Not Answered
Locked Locked
Replies 2 replies
Subscribers 5 subscribers
Views 1843 views
Users 0 members are here

Options

Suggested

This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intrusion Prevention-Warnung 93.184.221.240

Marco Sommert over 1 year ago

Hallo Sophos-Forum,

ich habe immer wieder Meldungen meiner Firewall SG230 mit Intrusion Prevention Warnungen.

Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.

You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: FILE-OTHER Interactive Data eSignal stack buffer overflow attempt

Details........: https://www.snort.org/search?query=20842

Time...........: 2023-09-14 11:57:05

Packet dropped.: yes

Priority.......: high

Classification.: Attempted User Privilege Gain IP protocol....: 6 (TCP)

Source IP address: 93.184.221.240

Source port: 80 (http)

Destination IP address: 192.168.210.157 Destination port: 56412

Bei der Zieladresse handelt es sich um meinen Laptop.

Kann mir jemand bitte sagen, was für eine IP das ist?

Handelt es sich hierbei um eine IP vom Windows-Update "Netzwerk"?

Ich danke euch für eine Rückmeldung

Liebe Grüße

Marco

This thread was automatically locked due to age.

Parents

0 Markus Keller over 1 year ago

Ich habe dasselbe Problem schon seit einiger Zeit mit einem bestimmten Rechner, an dem früher mal jemand arg herumgeschraubt hat (z.B. Settings und Microsoft Store Apps entfernt).

Im anderen Thread und auch sonst habe ich nirgends eine Lösung oder hilfreiche Erklärung zu dem Thema gefunden. eSignal wurde nie verwendet, und die IP sieht immer nach einer IP vom Akamai-CDN für Windows Updates aus. Tönt nach einem False Positive, aber finde es auch komisch, dass es nur diesen einen Rechner betrifft.

Der beste Workaround scheint zu sein, einfach die Benachrichtigungen abzuschalten via "Network Protection > Intrusion Prevention > Advanced > Manual Rule Modification":

- Rule ID: 20842
- Disable this rule [ ]
- Disable notifications [x]
- Action: Drop

Hoffe, das hilft.

-- Markus
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 Markus Keller over 1 year ago

Ich habe dasselbe Problem schon seit einiger Zeit mit einem bestimmten Rechner, an dem früher mal jemand arg herumgeschraubt hat (z.B. Settings und Microsoft Store Apps entfernt).

Im anderen Thread und auch sonst habe ich nirgends eine Lösung oder hilfreiche Erklärung zu dem Thema gefunden. eSignal wurde nie verwendet, und die IP sieht immer nach einer IP vom Akamai-CDN für Windows Updates aus. Tönt nach einem False Positive, aber finde es auch komisch, dass es nur diesen einen Rechner betrifft.

Der beste Workaround scheint zu sein, einfach die Benachrichtigungen abzuschalten via "Network Protection > Intrusion Prevention > Advanced > Manual Rule Modification":

- Rule ID: 20842
- Disable this rule [ ]
- Disable notifications [x]
- Action: Drop

Hoffe, das hilft.

-- Markus
Cancel
Vote Up 0 Vote Down

Cancel

Children

No Data