Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 38 replies
  • Subscribers 0 subscribers
  • Views 11271 views
  • Users 0 members are here
Options
Suggested

[7.920][BUG][FIXED] IPS stuck in a loop and won't stop loading.

Billybob
Just adding some information on my condition. Its obvious that IPS is broken in this version. My IPS keeps on trying to reload although its turned off via webadmin. I did turn it on initially and had lost connectivity but now it just keeps on running. 

Tried /var/mdw/scripts/snort stop and get done but in IPS log I can see where it is constantly reloading
A few snippets
2010:06:02-15:34:54 gatekeeper snort[9055]: Enabling inline operation

2010:06:02-15:34:54 gatekeeper snort[9055]: NFQUEUE ID set to: 0

2010:06:02-15:34:54 gatekeeper snort[9055]: Running in IDS mode

2010:06:02-15:34:54 gatekeeper snort[9055]: 

2010:06:02-15:34:54 gatekeeper snort[9055]:         --== Initializing Snort ==--

2010:06:02-15:34:54 gatekeeper snort[9055]: Initializing Output Plugins!


and after a few more lines, I get 
2010:06:02-15:35:16 gatekeeper snort[9055]: WARNING: Invalid content option in shared object rule: gid:3, sid:13476 : Fast pattern offset and length cannot be greater than the length of the pattern.  Rule will not be registered.

2010:06:02-15:35:16 gatekeeper snort[9055]: WARNING: gid:3, sid:15470. Fast pattern "only" flag used in combination with a fast pattern offset,length - honoring "only" flag and ignoring fast pattern offset,length.

and it continues on. I however never loose connectivity luckily [;)] Will probably reboot.

Regards
  • 0 in reply to kbr
    I am going to install the ISO. I am hoping that it will work fine.[:D]
  • 0 in reply to Billybob
    Ok just did a fresh install and imported the backup and back in business. I guess the up2date wasn't playing nice. Now we move to other things[;)] 

    2010:06:02-18:07:35 gatekeeper snort[8868]:         --== Initialization Complete ==--

    2010:06:02-18:07:35 gatekeeper snort[8868]: Snort initialization completed successfully (pid=8868)
  • 0 in reply to Billybob
    ... guess the up2date wasn't playing nice ...


    I can't believe this. I have different machines, one that gets a fresh install on each version, and one that goes through the up2date. Both of my machines are running fine and show none of the symptoms of tonight.

    The same goes for Frank, who installs his machines through both ways before releasing a version.
  • 0 in reply to kbr
    This reminds of when we went from closed beta to the first open beta. Everyone was fine but the people that did the update. No big deal, things happen... thats why we are still in beta.

    Not to cross post but my AV seems to be working again also with single scan.
  • 0 in reply to Billybob
    So the bug may be a bug in the up2date processes, would explain why some are and some are not having problems. If the bug is in up2date then there might be some clue in the up2date log... here are the up2date logs from today...
    up2date.log.zip
  • 0 in reply to Billybob
    Ok just did a fresh install and imported the backup and back in business. I guess the up2date wasn't playing nice. Now we move to other things[;)] 

    2010:06:02-18:07:35 gatekeeper snort[8868]:         --== Initialization Complete ==--

    2010:06:02-18:07:35 gatekeeper snort[8868]: Snort initialization completed successfully (pid=8868)


    I'll try the same thing and report back.... if a clean ISO works then something goofy is afoot with the up2date package.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Hi,
    mine has been dead from the installation of the up2date package. I have had to put the 7.504 box online.
    Basically the same complaints as everyone else regarding IPS, HTTP, DNS and NTP. Up2date failed to connect to a server.

    I am currently downloading the 920 ISO and will do a rebuild tonight, damn there goes the history.

    Ian M
  • 0 in reply to RFCat_vk_01
    Same here Applied to one Box after seeing BB questions.
    Turned off IPS rebooted machine and cycling seems to have stooped. With this from the IPS Live Log:-

    Live Log: Intrusion Prevention System 
    Filter: 
    Autoscroll
    2010:06:03-12:05:00 vncs snort[6703]: WARNING: Invalid content option in shared object rule: gid:3, sid:16405 : Fast pattern only contents cannot be relative or have non-zero offset/depth content modifiers. Rule will not be registered.
    2010:06:03-12:05:00 vncs snort[6703]: WARNING: gid:3, sid:16312. Fast pattern "only" flag used in combination with a fast pattern offset,length - honoring "only" flag and ignoring fast pattern offset,length.
    2010:06:03-12:05:00 vncs snort[6703]: DynamicPlugin: Rule [3:16312] not enabled in configuration, rule will not be used.
    2010:06:03-12:05:00 vncs snort[6703]: WARNING: Invalid content option in shared object rule: gid:3, sid:13718 : Fast pattern offset and length cannot be greater than the length of the pattern. Rule will not be registered.
    2010:06:03-12:05:00 vncs snort[6703]: WARNING: Invalid content option in shared object rule: gid:3, sid:12028 : Fast pattern offset and length cannot be greater than the length of the pattern. Rule will not be registered.
    2010:06:03-12:05:00 vncs snort[6703]: WARNING: Invalid content option in shared object rule: gid:3, sid:15329 : Fast pattern offset and length cannot be greater than the length of the pattern. Rule will not be registered.
    2010:06:03-12:05:00 vncs snort[6703]: WARNING: gid:3, sid:12692. Fast pattern "only" flag used in combination with a fast pattern offset,length - honoring "only" flag and ignoring fast pattern offset,length.
    2010:06:03-12:05:00 vncs snort[6703]: WARNING: Invalid content option in shared object rule: gid:3, sid:12692 : Fast pattern only contents cannot be relative or have non-zero offset/depth content modifiers. Rule will not be registered.
    2010:06:03-12:05:00 vncs snort[6703]: WARNING: Invalid content option in shared object rule: gid:3, sid:13894 : Fast pattern offset and length cannot be greater than the length of the pattern. Rule will not be registered.
    2010:06:03-12:05:00 vncs snort[6703]: WARNING: gid:3, sid:13895. Fast pattern "only" flag used in combination with a fast pattern offset,length - honoring "only" flag and ignoring fast pattern offset,length.


    Mark
  • 0
    Bit the bullet and followed BillyBob's lead.
     
    1)  created backup and downloaded to PC
    2)  Installed fresh from ISO
    3)  restore backup
     
    IPS works fine after that.  There was something definately wonky with the U2D.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    dito, clean install with 7.920 ISO, all smooth sailing, seems up2date **might**  need to get looked at and adjusted, I mean IDK, it could be just an error in the package it's self or it could be some little kink in up2date... it will take somebody who knows more about this stuff then I do to figure that part out, GL guys I hope you squash it if there is a bug.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?