Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 38 replies
  • Subscribers 0 subscribers
  • Views 11261 views
  • Users 0 members are here
Options
Suggested

[7.920][BUG][FIXED] IPS stuck in a loop and won't stop loading.

Billybob
Just adding some information on my condition. Its obvious that IPS is broken in this version. My IPS keeps on trying to reload although its turned off via webadmin. I did turn it on initially and had lost connectivity but now it just keeps on running. 

Tried /var/mdw/scripts/snort stop and get done but in IPS log I can see where it is constantly reloading
A few snippets
2010:06:02-15:34:54 gatekeeper snort[9055]: Enabling inline operation

2010:06:02-15:34:54 gatekeeper snort[9055]: NFQUEUE ID set to: 0

2010:06:02-15:34:54 gatekeeper snort[9055]: Running in IDS mode

2010:06:02-15:34:54 gatekeeper snort[9055]: 

2010:06:02-15:34:54 gatekeeper snort[9055]:         --== Initializing Snort ==--

2010:06:02-15:34:54 gatekeeper snort[9055]: Initializing Output Plugins!


and after a few more lines, I get 
2010:06:02-15:35:16 gatekeeper snort[9055]: WARNING: Invalid content option in shared object rule: gid:3, sid:13476 : Fast pattern offset and length cannot be greater than the length of the pattern.  Rule will not be registered.

2010:06:02-15:35:16 gatekeeper snort[9055]: WARNING: gid:3, sid:15470. Fast pattern "only" flag used in combination with a fast pattern offset,length - honoring "only" flag and ignoring fast pattern offset,length.

and it continues on. I however never loose connectivity luckily [;)] Will probably reboot.

Regards
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.920
    Type: BUG
    State: TESTED/FIXED
    Reporter: Billybob++
    Contributor: ReD-MaN, mos4567, Mark_D, Scott_Klassen
    MantisID: 13954
    Target version: 7.921
    Fixed in version: 7.921
    --------------------------------

  • 0 in reply to Astaro Beta Bot
    This is exactly what I am seeing in my log files.

    It kills Up2date service, IPv6 broker until I disabled IPS.
  • 0
    can you please tell me what rules you have enabled? Maybe post the [FONT="Courier New"]/etc/snort/rules/astaro.rules [/FONT]file?
  • 0
    All internet connectivity on the 'network', a few workstations, one web server and one NAS server I have behind the beta astaro lost all internet connectivity after updating from 7.918 to 7.920 this afternoon.   The first problem I saw in the log files were in SNORT, this is a sample of the looping message in the log file:


    2010:06:02-17:00:35 gnet snort[6992]: WARNING: Invalid content option in shared object rule: gid:3, sid:15861 : Fast pattern offset and length cannot be greater than the length of the pattern. Rule will not be registered.
    2010:06:02-17:00:35 gnet snort[6992]: WARNING: Invalid content option in shared object rule: gid:3, sid:15862 : Fast pattern offset and length cannot be greater than the length of the pattern. Rule will not be registered.
    2010:06:02-17:00:35 gnet snort[6992]: WARNING: Invalid content option in shared object rule: gid:3, sid:15863 : Fast pattern offset and length cannot be greater than the length of the pattern. Rule will not be registered.
    2010:06:02-17:00:35 gnet snort[6992]: WARNING: Invalid content option in shared object rule: gid:3, sid:15864 : Fast pattern offset and length cannot be greater than the length of the pattern. Rule will not be registered.
    2010:06:02-17:00:35 gnet snort[6992]: WARNING: Invalid content option in shared object rule: gid:3, sid:16371 : Fast pattern offset and length cannot be greater than the length of the pattern. Rule will not be registered.
    2010:06:02-17:00:35 gnet snort[6992]: WARNING: Invalid content option in shared object rule: gid:3, sid:16372 : Fast pattern offset and length cannot be greater than the length of the pattern. Rule will not be registered. 

    [...]

    2010:06:02-16:40:30 gnet modprobe: FATAL: Could not load /lib/modules/2.6.32.13-14-smp64/modules.dep: No such file or directory
    2010:06:02-16:40:30 gnet kernel: snort_inline[4297]: segfault at 0 ip 00000000f7542733 sp 00000000ffdaa22c error 4 in libc-2.9.so[f74cf000+155000]
    2010:06:02-16:40:30 gnet kernel: r8169: WARNING! Changing of MTU on this NIC may lead to frame reception errors!
    2010:06:02-16:40:31 gnet modprobe: FATAL: Could not load /lib/modules/2.6.32.13-14-smp64/modules.dep: No such file or directory
    2010:06:02-16:40:31 gnet modprobe: FATAL: Could not load /lib/modules/2.6.32.13-14-smp64/modules.dep: No such file or directory
    2010:06:02-16:40:31 gnet modprobe: FATAL: Could not load /lib/modules/2.6.32.13-14-smp64/modules.dep: No such file or directory
    2010:06:02-16:40:31 gnet modprobe: FATAL: Could not load /lib/modules/2.6.32.13-14-smp64/modules.dep: No such file or directory
    2010:06:02-16:40:31 gnet modprobe: FATAL: Could not load /lib/modules/2.6.32.13-14-smp64/modules.dep: No such file or directory
    2010:06:02-16:40:31 gnet modprobe: FATAL: Could not load /lib/modules/2.6.32.13-14-smp64/modules.dep: No such file or directory
    2010:06:02-16:40:31 gnet modprobe: FATAL: Could not load /lib/modules/2.6.32.13-14-smp64/modules.dep: No such file or directory
    2010:06:02-16:40:31 gnet modprobe: FATAL: Could not load /lib/modules/2.6.32.13-14-smp64/modules.dep: No such file or directory
    2010:06:02-16:41:27 gnet kernel: NET: Registered protocol family 10
    2010:06:02-16:41:28 gnet kernel: lo: Disabled Privacy Extensions
    2010:06:02-16:41:28 gnet kernel: asg_cluster [INFO]: Registered IPv6 okfn
    2010:06:02-16:41:28 gnet kernel: ip_tables: (C) 2000-2006 Netfilter Core Team
    2010:06:02-16:41:28 gnet kernel: ip6_tables: (C) 2000-2006 Netfilter Core Team
    2010:06:02-16:41:28 gnet kernel: nf_conntrack version 0.5.0 (312500 buckets, 2500000 max)
    2010:06:02-16:41:28 gnet kernel: Netfilter messages via NETLINK v0.30.
    2010:06:02-16:41:28 gnet kernel: ctnetlink v0.93: registering with nfnetlink.
    2010:06:02-16:41:33 gnet kernel: powernow-k8: Found 1 AMD Athlon(tm) II X4 620 Processor processors (4 cpu cores) (version 2.20.00)
    2010:06:02-16:41:33 gnet kernel: powernow-k8:    0 : pstate 0 (2600 MHz)
    2010:06:02-16:41:33 gnet kernel: powernow-k8:    1 : pstate 1 (1900 MHz)
    2010:06:02-16:41:33 gnet kernel: powernow-k8:    2 : pstate 2 (1400 MHz)
    2010:06:02-16:41:33 gnet kernel: powernow-k8:    3 : pstate 3 (800 MHz)
    2010:06:02-16:41:34 gnet kernel: 0000:02:00.0: eth1: TSO is Disabled
    2010:06:02-16:41:38 gnet kernel: Initializing USB Mass Storage driver...
    2010:06:02-16:41:38 gnet kernel: usbcore: registered new interface driver usb-storage
    2010:06:02-16:41:38 gnet kernel: USB Mass Storage support registered.
    2010:06:02-16:42:33 gnet kernel: ADDRCONF(NETDEV_UP): eth1: link is not ready
    2010:06:02-16:42:33 gnet kernel: NET: Registered protocol family 17
    2010:06:02-16:42:33 gnet kernel: r8169: eth0: link up
    2010:06:02-16:42:33 gnet kernel: r8169: eth0: link up
    2010:06:02-16:42:36 gnet kernel: e1000e: eth1 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TX
    2010:06:02-16:42:36 gnet kernel: ADDRCONF(NETDEV_CHANGE): eth1: link becomes ready
    2010:06:02-16:42:40 gnet kernel: r8169: WARNING! Changing of MTU on this NIC may lead to frame reception errors!
    2010:06:02-16:42:41 gnet kernel: snort_inline[4790]: segfault at 0 ip 00000000f74d9733 sp 00000000ff979c7c error 4 in libc-2.9.so[f7466000+155000]
    2010:06:02-16:42:44 gnet kernel: Ebtables v2.0 registered
    2010:06:02-16:42:45 gnet kernel: NF_TPROXY: Transparent proxy support initialized, version 4.1.0
    2010:06:02-16:42:45 gnet kernel: NF_TPROXY: Copyright (c) 2006-2007 BalaBit IT Ltd.
    2010:06:02-16:42:47 gnet kernel: r8169: WARNING! Changing of MTU on this NIC may lead to frame reception errors!
    2010:06:02-16:42:49 gnet kernel: snort_inline[5269]: segfault at 0 ip 00000000f7565733 sp 00000000ffc5802c error 4 in libc-2.9.so[f74f2000+155000]
    2010:06:02-16:42:54 gnet kernel: hwinfo: vm86 mode not supported on 64 bit kernel
    2010:06:02-16:42:54 gnet kernel: IT8712 SuperIO detected.
    2010:06:02-16:42:54 gnet kernel: ppdev: user-space parallel port driver
    2010:06:02-16:42:54 gnet kernel: IT8712 SuperIO detected.
    2010:06:02-16:42:54 gnet kernel: ide-cd driver 5.00
    2010:06:02-16:42:55 gnet kernel: snort_inline[5535]: segfault at 0 ip 00000000f755f733 sp 00000000fffdf8ac error 4 in libc-2.9.so[f74ec000+155000]
    2010:06:02-16:43:00 gnet kernel: snort_inline[5642]: segfault at 0 ip 00000000f7508733 sp 00000000fffa8e8c error 4 in libc-2.9.so[f7495000+155000]
    2010:06:02-16:43:05 gnet kernel: snort_inline[5669]: segfault at 0 ip 00000000f757d733 sp 00000000ff8cf87c error 4 in libc-2.9.so[f750a000+155000]
    2010:06:02-16:43:57 gnet kernel: snort_inline[6004]: segfault at 0 ip 00000000f74f0733 sp 00000000fff474ec error 4 in libc-2.9.so[f747d000+155000]


    Here are relevent self monoiting log messages 

    2010:06:02-16:52:23 gnet selfmonng[4366]: I check Failed increment ctasd_running counter 1 - 3
    2010:06:02-16:52:23 gnet selfmonng[4366]: I check Failed increment httpproxy_running counter 1 - 3
    2010:06:02-16:52:23 gnet selfmonng[4366]: I check Failed increment cssd_running counter 1 - 3
    2010:06:02-16:52:32 gnet selfmonng[4366]: I check Failed increment admin_reporter_running counter 1 - 3
    2010:06:02-16:52:33 gnet selfmonng[4366]: I check Failed increment vpn_reporter_running counter 1 - 3
    2010:06:02-16:52:33 gnet selfmonng[4366]: I check Failed increment ips_reporter_running counter 1 - 3
    2010:06:02-16:52:33 gnet selfmonng[4366]: I check Failed increment mailsec_reporter_running counter 1 - 3
    2010:06:02-16:52:33 gnet selfmonng[4366]: I check Failed increment websec_reporter_running counter 1 - 3
    2010:06:02-16:52:42 gnet selfmonng[4366]: I reloading all checks
    2010:06:02-16:52:42 gnet selfmonng[4366]: T Loading Selfmonitoring Checks complete  new=0 failed=0 retained=65 dropped=0

    If you need any other log files let me know,  I rebooted the box and the entire network behind the beta box and still had no internet from any box behing the beta astaro.  After disabling SNORT and the transparent web proxy, internet connectivity appears to be back for the boxes behind the beta astaro.
  • 0 in reply to mos4567 
    Astaro Beta Report
    --------------------------------
    Version: 7.920
    Type: BUG
    State: OPEN
    Reporter: mos4567
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0 in reply to mos4567
    O I should also note the following from the self monitoring log from the problem...

     2010:06:02-16:56:17 gnet selfmonng[4366]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 suppressed
    2010:06:02-16:56:17 gnet selfmonng[4366]: W triggerAction: 'cmd'
    2010:06:02-16:56:17 gnet selfmonng[4366]: W actionCmd(+):  '/var/mdw/scripts/snort restart'
    2010:06:02-16:56:39 gnet selfmonng[4366]: W child returned status: exit='1' signal='0'
    2010:06:02-16:56:59 gnet selfmonng[4366]: I check Failed increment snort_inline_running counter 1 - 3
    2010:06:02-16:57:19 gnet selfmonng[4366]: I check Failed increment snort_inline_running counter 2 - 3
    2010:06:02-16:57:39 gnet selfmonng[4366]: W check Failed increment snort_inline_running counter 3 - 3
    2010:06:02-16:57:39 gnet selfmonng[4366]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 suppressed
    2010:06:02-16:57:39 gnet selfmonng[4366]: W triggerAction: 'cmd'
    2010:06:02-16:57:39 gnet selfmonng[4366]: W actionCmd(+):  '/var/mdw/scripts/snort restart'
    2010:06:02-16:58:01 gnet selfmonng[4366]: W child returned status: exit='1' signal='0'
    2010:06:02-16:58:21 gnet selfmonng[4366]: I check Failed increment snort_inline_running counter 1 - 3
    2010:06:02-16:58:41 gnet selfmonng[4366]: I check Failed increment snort_inline_running counter 2 - 3
    2010:06:02-16:59:01 gnet selfmonng[4366]: W check Failed increment snort_inline_running counter 3 - 3
    2010:06:02-16:59:01 gnet selfmonng[4366]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 suppressed
    2010:06:02-16:59:01 gnet selfmonng[4366]: W triggerAction: 'cmd'
    2010:06:02-16:59:01 gnet selfmonng[4366]: W actionCmd(+):  '/var/mdw/scripts/snort restart'
    2010:06:02-16:59:18 gnet selfmonng[4366]: W child returned status: exit='1' signal='0'
    2010:06:02-16:59:38 gnet selfmonng[4366]: I check Failed increment snort_inline_running counter 1 - 3
    2010:06:02-16:59:48 gnet selfmonng[4366]: I reloading all checks
    2010:06:02-16:59:48 gnet selfmonng[4366]: T Loading Selfmonitoring Checks complete  new=0 failed=0 retained=65 dropped=0
    2010:06:02-16:59:48 gnet selfmonng[4366]: T read config file '/etc/selfmonng.conf'
    2010:06:02-16:59:58 gnet selfmonng[4366]: I check Failed increment snort_inline_running counter 2 - 3
    2010:06:02-17:00:18 gnet selfmonng[4366]: W check Failed increment snort_inline_running counter 3 - 3
    2010:06:02-17:00:18 gnet selfmonng[4366]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 suppressed
    2010:06:02-17:00:18 gnet selfmonng[4366]: W triggerAction: 'cmd'
    2010:06:02-17:00:18 gnet selfmonng[4366]: W actionCmd(+):  '/var/mdw/scripts/snort restart'
    2010:06:02-17:00:41 gnet selfmonng[4366]: W child returned status: exit='1' signal='0'
    2010:06:02-17:01:01 gnet selfmonng[4366]: I check Failed increment snort_inline_running counter 1 - 3
    2010:06:02-17:01:21 gnet selfmonng[4366]: I check Failed increment snort_inline_running counter 2 - 3
    2010:06:02-17:01:41 gnet selfmonng[4366]: W check Failed increment snort_inline_running counter 3 - 3
    2010:06:02-17:01:41 gnet selfmonng[4366]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=11
    [...]
    and loop that a bunch
  • 0 in reply to ReD-MaN
    Here is mine: ... Was too large for the forum.


    Thank you very much!

    I'll have to see our webmasters next week and talk with them about those limits ;-)
  • 0 in reply to kbr
    Thank you very much!

    I'll have to see our webmasters next week and talk with them about those limits ;-)


    Yeah, 97.7KB is a bit small for a zipped log file [;)]
  • 0 in reply to mos4567
    I should also note the following from the self monitoring log from the problem...

    2010:06:02-17:00:18 gnet selfmonng[4366]: W actionCmd(+):  '/var/mdw/scripts/snort restart'
    [...]
    and loop that a bunch


    That's the usual stuff that the selfmonitor emits if one of those services dies ...
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?