После обновления правил появилась вот такая штука в интерфейсе base. Причем
# grep -R 27875 *
rules/exploit-kit.rules:alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"EXPLOIT-KIT DotCachef/DotCache exploit kit landing page"; flow:to_client,established; file_data; content:",$$$$|3A|(![]+|22 22|)"; fast_pattern:only; metadata:policy balanced-ips drop, policy security-ips drop, service http; classtype:trojan-activity; sid:27875; rev:1;)
sid-msg.map:27875 || EXPLOIT-KIT DotCachef/DotCache exploit kit landing page
barnyard передернут. Куда копать?